Develop and Download Open Source Software

TelnetやFTPなどといった第1世代のネットワーク・プロトコルでは、ログイン手順は平文で処理される。したがって、そのセキュア版としてOpenSSHが登場したのは当然だろう。だが、Telnetの代わりにSSHを使っているからといって十分とはいえず、慎重に用いるべき点は同じだ。SSHに使うパスワードが弱いと、辞書を利用した力ずくの攻撃で、パスワードを平文で送ったのと同じくらいやすやすと解読されてしまうからだ。

そのポート22を力ずくの攻撃から保護しようと考え出されたのがsshguardだ。このツールはSSHへのログイン要求を監視し、攻撃があるとそのIPアドレスを遮断するルールをファイアウォールに設定する。デフォルトでは、ログインの失敗が20分間に4回繰り返されると攻撃と見なし阻止する（ログインを要求したIPアドレスをブロックするルールをファイアウォールに設定する）。その後、7分から10.5分までの間で無作為に選ばれた時間を経過すると、ブロックされたIPアドレスは再びファイアウォールの通過を許されるようになる。

インストール

一般的なLinuxシステムへのインストールの仕方を紹介しておこう。まず、最新バージョンをダウンロードし、「tar xjf sshguard-0.9.tar.bz2」コマンドで展開する。ここから先の手順はプラットフォームごとに異なるので、以下の説明のほか、sshguard-0.9ディレクトリーにあるREADMEをよく読むこと。

次に、「python scons.py -Q FIREWALLTYPE=iptables」コマンドを入力し、コンパイルする。コンパイルが終わったら、rootで「python scons.py -Q FIREWALLTYPE=iptables install」コマンドを実行し、インストールする。

sshguardを使うにはインストールしただけではだめで、あと3つの手順が必要だ。まず、iptablesにsshguard用の動的ルールを作成しなければならない。rootで次のコマンドを実行する。

iptables -N sshguard
iptables -A INPUT -p tcp --dport 22 -j sshguard

次に、sshguardがログイン要求を検知できるようにしなければならない。方法はいくつかあるが（README参照）、ここでは、開発者本人が最も易しく最も効率的だという方法を紹介しよう。次のtailコマンドを使う方法だ。

tail -n0 -F /var/log/auth.log | /usr/local/sbin/sshguard &

このtailコマンドは再起動の度に実行しなければならない。それを避けたいなら、私の場合のように、シングル・ユーザー・システムの場合はホーム・ディレクトリーの.bashrcファイルにこのコマンドを追加しておけばよい。マルチユーザー・システムの場合はシステム管理者に相談すること。

そして、iptablesに動的ルールを追加・削除できるようにsshguardのパーミッションを設定しておかなければならない。chmodコマンドを使って、sshguardがrootで動作するように設定する。

chmod +s /usr/local/sbin/sshguard

テスト

これで、sshguardは動作するはずだ。「sudo /usr/sbin/sshd」コマンドでsshdを再起動し、テスト・マシンに外部からSSHでログインする。インストールが正しく行われていれば、このログインによってsshguardが起動される。これは、次のコマンドを実行しsshguardのインスタンスが動いていることを確認すればわかる。次のように、表示されるはずだ。

ps ax |grep sshguard
27729 pts/1  Sl   0:00 /usr/local/sbin/sshguard

LAN上の別のマシンからテストしてみた。わざとパスワードを間違えて数回ログインを試みると、予期したとおりにそのマシンからはsshguardで保護されたデスクトップに接続できなくなった。そして、数分経過すると再びログイン可能になった。iptablesの動的ブロック・ルールは所期どおり機能しているようだ。

開発途中であるせいか、解説書は貧弱。とはいえ、sshguardは有用なツールだ。SSHへの力ずくの攻撃に対抗する手段として、検討する価値はある。