Credo Quia Verum 1888

1. 生活に目的を定めること。一つの仕事を己に課すること。
2. その目的に添うように自分の努力を方向づけ、意志を確定すること。
3. 自分の行動の対象を自己自身の中に求めずに、外に求めること。
4. 他に役立つものになること。積極的で具体的にそうなること。善を行なう一般的な機会を逃がすことなく、他人の誰かの幸福のために尽くすことに自分の生活を捧げること。自分の慈悲や愛をあいまいな感傷に終わらせないように特に心掛けること。
5. 真実を求めることを決してやめないこと。もし真実が得られたらそれをできるだけ他人にも享受させること。ただしそれを他人に押しつけないこと。

サマリ

• ブロッキングバックエンドはiptables
• ロギングはsyslog-ng．もともとインストールされていた旧来syslogはログを直接プログラムに渡せない版のもの．FIFO(named Pipe)経由にすればよいのだが，設定が散逸(rc.localにも書く)になるので代替のロギングシステムのうちsyslog-ngに置き換えた．
• Debianパッケージsshguardはバージョンが古く，途中で終了してしまうので，最新版を取得し，ソースからビルド

ビルド手順

ソースを解凍したディレクトリで以下を実行．

./configure --with-firewall=iptables
make
sudo make install

/etc/network/if-up.d/sshguard

以下の内容でファイルを作成し実行権をつける．eth0の部分は自分のシステムのものに修正してください．また，ネットワークインタフェースが落るとき，チェインsshguardを消すスクリプトも必要です（当面サボリ）．

#!/bin/sh

[ "$IFACE" = eth0 ] || exit 0

iptables -N sshguard
iptables -A INPUT -p tcp --dport 22 -j sshguard

追加したらネットワークインタフェースをdown→upする．

/etc/syslog-ng/syslog-ng.conf

以下を最後に追加．

# pass only entries with auth+authpriv facilities that contain sshd
filter sshlogs { facility(auth, authpriv) and match("sshd"); };
# pass to this process with this template (avoids  prefixes)
destination sshguardproc {
	program("/usr/local/sbin/sshguard"
	    template("$DATE $FULLHOST $MESSAGE\n"));
};
log { source(s_all); filter(sshlogs); destination(sshguardproc); };

修正後，syslog-ngに設定ファイルをreloadさせる．

killall -HUP syslog-ng

ログ例: アタックサイトからのパケットの拒否と，一定時間後の解除

Dec 20 14:02:48 hikari sshd[24504]: Did not receive identification string from 218.6.128.2
Dec 20 14:02:48 hikari sshguard[2166]: Matched IP address 218.6.128.2
Dec 20 14:13:19 hikari sshd[2473]: Invalid user staff from 218.6.128.2
Dec 20 14:13:19 hikari sshguard[2166]: Matched IP address 218.6.128.2
Dec 20 14:13:27 hikari sshd[2612]: Invalid user sales from 218.6.128.2
Dec 20 14:13:27 hikari sshguard[2166]: Matched IP address 218.6.128.2
Dec 20 14:13:35 hikari sshd[2764]: Invalid user recruit from 218.6.128.2
Dec 20 14:13:35 hikari sshguard[2166]: Matched IP address 218.6.128.2
Dec 20 14:13:35 hikari sshguard[2166]: Blocking 218.6.128.2: 4 failures over 647 seconds.
Dec 20 14:13:35 hikari sshguard[2166]: Setting environment: SSHG_ADDR=218.6.128.2;SSHG_ADDRKIND=4;SSHG_SERVICE=100.
Dec 20 14:13:35 hikari sshguard[2166]: Run command "case $SSHG_ADDRKIND in 4) exec /sbin/iptables -A sshguard -s $SSHG_ADDR -j DROP ;; 6) exec /sbin/ip6tables -A sshguard -s $SSHG_ADDR -j DROP ;; *) exit -2 ;; esac": exited 0.
Dec 20 14:23:01 hikari sshguard[2166]: Releasing 218.6.128.2 after 566 seconds.
Dec 20 14:23:01 hikari sshguard[2166]: Setting environment: SSHG_ADDR=218.6.128.2;SSHG_ADDRKIND=4;SSHG_SERVICE=100.
Dec 20 14:23:01 hikari sshguard[2166]: Run command "case $SSHG_ADDRKIND in 4) exec /sbin/iptables -D sshguard -s $SSHG_ADDR -j DROP ;; 6) exec /sbin/ip6tables -D sshguard -s $SSHG_ADDR -j DROP ;; *) exit -2 ;; esac": exited 0.

参考にさせてもらったリンク

• sshguard本家
• sshguard試してみた@hollyさんのblog
• ssh ブルートフォースアタックについて。@technoさんのblog
• sshguard: Current implementation skip any other iptables rules(現実装の問題点)

インストール手順メモ

1. 上記プラグインと，cURLからWindows用のlibcurlをダウンロードする
2. libcurlにあるlibssh2.dllとlibeay32.dllをプラグインを展開したフォルダへコピーする
3. TCのメニュからコンフィギュレーション→オプション→プラグイン→ファイルシステムプラグインを選んで，プラグイン展開フォルダにあるsftplug.wfx を追加する

表紙

James Goslingの名前がある

目次1

一角獣のイラストはだれのデザインなのだろうか？Unipress→Unicornとも，Unix→Unicornとも取れる．
CMU(Carnegie Mellon University)時代のJames Goslingによる執筆のようだ．ただしEmacs自体は1981年開発だったと思う．

目次2

electric-c-mode, electric-lisp-modeはだいぶお世話になった．

目次3

このEmacsで初めてインクリメンタルサーチに触れた時の驚きは強烈だったが，マニュアルの「20.8 incr-search」によるとITS Emacsに既にあった事になる．思っていたより昔からあったのにはまた驚き．