あらまし
apacheにmod_securityを導入後、以下を実施しました。
- Mod_Securityが検知した不審なアクセスのうち、IPアドレスのみを抜き出す
- その抜き出したIPアドレスをMod_securityによってブロックする
- これを日次で追加していく
この方法はそこそこうまくいっています。ですが、「これら不審なアクセス元はWebだけでの攻撃だけか? メールやSSHへの攻撃もしているだろう」と思い立ち、不審なアクセスを元から絶つ方法を採りました。
環境
AWS Lightsailで以下を動かしています。
- Ubuntu 20.04
- いわゆるLAMP環境
前提
以下が準備済みです。
- Mod_Security導入済み
- 前述したmod_securityから不審なアクセス元のみを抜き出したIPアドレスのリストがある
- このリストをnegativelist.txtとして用意しています。
リスト形式
192.168.0.1
192.168.1.123
のように、一行ずつIPアドレスだけが記述されているファイルです。さっくりとした手順
- ufwを有効化します。
- 不審なアクセス元のIPアドレスのみを抜き出したnegativelist.txtを一行ずつ読み込みアクセスを遮断するシェルスクリプトを作成します。
- 作成したスクリプトを実行します。
実行の前の注意事項
- 自環境のアクセスが遮断される可能性があることに注意してください。
- 事前にスナップショットやバックアップを取り、失敗した時に備え切り戻しができる準備を強く推奨します。
- この方法によりアクセスができなくなった等に対し、筆者は責任を負いかねます。
手順
全て管理者権限で実施しています。
ufwがインストールされていることを確認します。(導入済みの場合はスキップ)
apt list ufw
# [インストール済み] となっていることを確認します。ufwを有効化します。(導入済みの場合はスキップ)
ufw enable許可するサービスを指定します。(導入済みの場合はスキップ)
ufw limit ssh
# 連続したSSHアクセスを遮断します
ufw allow http
ufw allow https
# その他の許可するサービスは必要に応じて指定してくださいこの段階で、以下を確認します。
- ターミナルクライアントからSSH接続ができること
- 既存のサービスが外部NWからアクセスできること
サービス確認
ufw status実行例
状態: アクティブ
To Action From
-- ------ ----
22 LIMIT Anywhere
80 ALLOW Anywhere
443 ALLOW Anywhere
22 (v6) LIMIT Anywhere (v6)
80 (v6) ALLOW Anywhere (v6)
443 (v6) ALLOW Anywhere (v6) シェルスクリプトを作成します。
vi /hoge/add_ufw.shスクリプト内容
#!/bin/bash
# UFWを念のため事前に有効化します
ufw enable
# ファイルに書かれたIPアドレスを一行ずつ読み込みアクセスを遮断します。
while read line; do
ufw deny from $line
# 読み込むファイルを指定します
done < /path/to/negativelist.txtシェルスクリプトに実行権限を与えます。
chmod +x /hoge/add_ufw.shシェルスクリプトを実行します。
./hoge/add_ufw.sh
# 行数によっては相当な時間がかかります実行後の確認を行います。
ufw status実行例(抜粋)
Anywhere DENY 192.168.0.1
Anywhere DENY 192.168.1.111 まとめ
これで、「Webサイトに対して不審なアクセスを行ったIPをまるごと遮断する」ことが可能になりました。相当乱暴な方法ではあることにご注意ください。