サーバーセキュリティを保護するPiAlertV1

ある日、私は考えを持った。このアイデアは、PiAlertプロジェクトで具体化されました。あなたはそれからであるかを調べることができます。このビデオ。一言で言えば、PiAlertは、サーバーに侵入しようとすると、色付きのライトが点灯するデバイスです。システムは、そのようなイベントの総数を計算します。私は主に、サーバーのポート22（SSH）に接続しようとしているのを見てきました。通常、これらのイベントはボットアクティビティの結果です。日中、通常のログインシステムが有効になっている私のVPSの1つで、1,633回の侵入の試みが記録されました。SSHキーを使用したパスワードなしのログインを使用した別のサーバーでは、9回の攻撃が記録されました。WordPressプロジェクトダッシュボードへの不正なログイン試行が1回検出されました。前述のビデオは、システムを稼働させる前のシステムのテストを示しています。



そして、ここにいくつかのショットがあります。

PiAlertの動作





オフになっているデバイス、正面図





無効化されたデバイス、側面図



私が得たものは、せいぜい、デバイスのアルファ版と呼ぶことができると言わなければなりません。私は、パブリックドメインでケースを3D印刷するためのプロジェクトコードとモデルを共有しました。誰かが私のプロジェクトに興味を持った場合、彼らが私が公益のためにプロジェクトを改善するのに役立つことを願っています。

プロジェクトの概要

最近、サーバーの1つでインシデントが発生した後、ログを調べて何が起こったのかを把握するのが本当に好きだと気付きました。私は通常、次のコマンドを使用します。

tail -n 80 -f /var/log/apache2/error.log
tail -n 80 -f /var/log/apache2/access.log
tail -n 80 -f /var/log/auth.log

ボットがどこからでもアクセスしようとしているページや、SSH経由でログインしようとしているアカウントを確認するのは興味深いことです。ハッカー映画のようにも見えます。それから、ターミナルウィンドウよりもはるかに魅力的に見えるものを作成できると思いました。この瞬間、私がここで話しているプロジェクトが生まれました。



ログオン試行の監視結果は最近変更されました。これは、より厳密なログイン手順を実装した後に発生しました。つまり、システムへのログイン試行回数が大幅に減少しました。これは、私が作成したサーバー監視システムが24時間実行された後に明らかになりました。以下でこれについて話します。



この資料は3つのセクションに分かれています。1つ目はハードウェア、2つ目はサーバーのセットアップ、3つ目はRaspberryPiのプログラムに関するものです。

ハードウェア

私のデバイスは、次のコンポーネントから組み立てられています。

• ラズベリーパイゼロWボード。
• Pimoroni Blinkt LEDパネル！..。
• AliExpressの格安7セグメント4桁ディスプレイ（白）。

これが接続図です。





ボード



へのコンポーネントの接続図BlinktLEDパネルをRaspberryPiに接続するには！ DuPont接続ワイヤーが使用されました。一方では、それらをカットして、パネルの40ピンGPIOポートの対応するピンにはんだ付けしました。ディスプレイを接続する必要があったため、ボードに直接接続できませんでした。



パネルが機能するまでに長い時間がかかりました。最初は、私のインスタンスがコネクタの接続不良に悩まされていると思いました。そして、これを理解するために、私は試行錯誤を繰り返し、それに費やしたいよりもはるかに多くの時間を費やさなければなりませんでした。私はに伸ばした後Pimoroni経由のTwitter、Blinktの初期バージョンであることが判明しました！pinout.xyzに示されているように、ピン＃4ではなくピン＃2を5Vに使用します。しかし、私はそれを理解するまで、私のものが機能していなかった場合に備えて、急いで別のBlinkt！LEDパネルを注文しました。そして今、最初のプロジェクトを立ち上げた後、2番目のプロジェクトを使用できる新しいプロジェクトについて考える必要があります。Tinkercadで設計し



たケースにこれらすべてのコンポーネントを配置しました..。本体は私のEnder3 Pro3Dプリンターで印刷されました。私はケースを手に入れましたが、パーツが互いにぴったりとはまるように、またはラッチで互いに固定されるようにパーツを作成する方法をまだ考えることができませんでした。その結果、完成したデバイスを組み立てるために使用したM5ネジ用に設計された、ボディパーツの1つに一対の支柱を形成しました。これらの支柱は、ラズベリーパイ用のケースに十分なスペースがあるように、端に沿って配置されています。



本体の印刷には、メーカー不明のPLAプラスチックを使用しました（印刷温度-217°C、充填率-10％）。YouTubeで色々な動画を見 た後、通常の設定を適用しました。





コーパスを印刷するためのいくつかの試みの結果





ボディアセンブリ



私は9回目の試行で、まともな外観のフロントパネルを作成することができました。入力するたびに、何かを少し動かす必要があるか、少しではありますがどこかに修正する必要があることがわかりました。モデルの編集中にTinkercadを数回使用しただけで、ほとんど最初から作業を開始する必要がありました。 Blinkt LEDバーを直したかった！スナップを使用しましたが、何度か失敗した後、このアイデアをあきらめ、グルーガンで問題を解決しました（私はこれが大好きです！）。結局、ディスプレイとRaspberryPiボード自体の両方を保護するためにそれを使用することになりました。ケースの作業を終えて、ボードをケースに入れる問題を解決していました。最初は、ボードをケースに固定していませんでしたが、そのため、USBケーブルを接続するのは大変な冒険になりました。ケースの最終バージョン（一部のバージョンが「最終」になると言える場合）では、ネジ、ネジの穴、ケース内の支柱を取り除き、ケースのパーツを接続する方法を見つけたいと思います。ラッチを使用します。誰かがコーパスの作業に参加して、その中のすべてを変更したい場合は、大歓迎です！また、ケースのフロントパネルを半透明のガラスやアクリルで閉じたいと思います。これにより、デバイスの外観が完成し、「技術的な」詳細が隠されます。誰かがコーパスの作業に参加して、その中のすべてを変更したい場合は、大歓迎です！また、ケースのフロントパネルを半透明のガラスやアクリルで覆いたいと思います。これにより、デバイスの外観が完成し、「技術的な」詳細が隠されます。誰かがコーパスの作業に参加して、その中のすべてを変更したい場合は、大歓迎です！また、ケースのフロントパネルを半透明のガラスやアクリルで覆いたいと思います。これにより、デバイスの外観が完成し、「技術的な」詳細が隠されます。



このプロジェクトのベースとなっているRaspberryPiボードは、ボードの背面に40ピンGPIOポートを取り付ける必要がある別のプロジェクトですでに使用されています。それはプラスであることが判明しました。ボードはケースにしっかりと固定されているので、他のプロジェクトでは使用しないと思います。そのため、すべてをケースにうまく配置するために、いくつかのピンを曲げました。





すべてがフィットします！



結局、私は別のアイデアを思いつきました。それは、デバイスに少なくとも2つのボタンを装備する必要があるということです。たぶんそれらを引き出すことすらしないが、単にケースのどこかにそれらを隠す。さまざまな種類の固定攻撃を切り替えて、その数を表示するために1つ必要です。2つ目は、短く押すとディスプレイがオフになり、長く押すとRaspberryPiを静かにシャットダウンする必要があります。必要に応じて、いつでもSSH経由でデバイスに接続できます。本当に必要な場合は、コマンドを呼び出すURLルートを作成できますsudo halt。

サーバー構成

上記の事件の後、サーバーの保護を強化し、監視を設定しているときに、fail2banプログラムがサーバーにインストールされることを確認しました。これは素晴らしいFOSSです-事業。 Fail2banはサーバー上のログを監視し、SSHログインの複数回の試行の失敗など、通常の状態では発生してはならないことに関する情報を記録します。次に、プログラムは、疑わしい要求の発信元のIPアドレスを禁止します。これは、重大な問題が発生する可能性がある場合、または一部のイベントが所定の期間内に繰り返される場合に実行されます。デフォルトでは、fail2banはSSHトラフィックを監視しますが、404エラーの数や、WordPressプロジェクトの管理パネルへのログインの失敗回数など、他の何かを監視するようにプログラムを構成できます。



Fail2banを使用すると、さまざまなイベントが発生したときに呼び出される独自のアクションを作成できます。単純なカールリクエストのようなことをするよりも複雑であることが判明したので、私は結局GitHubに助けを求めました。何をしても、システムを正常に動作させることができませんでした。同様の問題を簡単に解決できるようにするために、私が最終的にどのようにしてすべてを設定したかについて説明します。つまり、Debianベースのサーバーでfail2banを使用することについて話しています。



ファイルjail.localを作成して、それに以下を追加しましょう。

[sshd]
enabled = true
port = ssh
banaction = pinotifyred[myhost="SCRIPTHOSTSERVER"]

ここSCRIPTHOSTSERVERでは、適切なURL（たとえば、-on）に置き換える必要がありますdev.testing:8080。このURLの先頭にはプロトコル情報がなく、末尾にパスがなく、アドレスがスラッシュで終わってはならないことに注意してください。



その結果、SSHDに関連する通常のアクションが発生し、プログラムは引き続き疑わしいIPアドレスを禁止しますが、追加のアクションを作成することもできます。残念ながら、ここで実行されるコマンドを簡単に説明することはできません（これが私の問題でした）。代わりに、実行するアクションをシステムに正確に伝える必要があります。アクションは、フォルダーに保存されているファイルから呼び出されますaction.d。このフォルダ内の.confファイルの名前は、アクションの名前（この場合はthis pinotifyred.conf）に対応しています。これらのファイルは次のようになります。

[Definition]
#  get-  "http://example.com/red"

actionban = curl --fail "http://<my-host>/red" >> /dev/null

[Init]
#     jail-    :
my-host = SCRIPTHOSTSERVER

ここでも、ファイルの説明で前述したのと同じルールに従ってSCRIPTHOSTSERVER、適切なURL（の一種dev.testing:8080）に変更する必要がありますjail.local。



コードはアクションを呼び出し、変数を変更しますmy-host。そのような変数がなければ、すべてを機能させることはできませんでした。



このコードは、必要なコマンドを実行します。これは、fail2banが機能するために必要ないくつかの変数を宣言します。さらに、これを構成する方法は、さまざまなパラメーターを使用してcurlまたはwget要求を送信できることを意味します。これらのパラメータの中には、たとえば、どのIPが禁止されたか、正確にいつ発生したかに関する情報が含まれている場合があります。したがって、私の場合のように、攻撃の数に関するデータだけではなく、攻撃に関するより詳細な情報を受け取りたい場合は、これを使用できます。つまり、これを行うにaction.dは、次の内容のファイルをフォルダに配置できます。

[Definition]
# get-  "http://example.com/ban.php?jail=sshd&ip=192.0.2.100":

actionban = curl -G --data-urlencode "jail=%(name)s" --data-urlencode "ip=" --fail "http://<my-host>/ban.php"

[Init]
#     jail-    :
my-host = SCRIPTHOSTSERVER

アクションが2回呼び出されるため（IPがブロックされているときとブロックが解除されているとき）、おそらくここにバグがあることを指摘したいと思います。私は後でこれに取り組むつもりです、おそらくこれは攻撃の数の倍増につながるでしょう。

RaspberryPiソフトウェア

正直なところ、私のコードは完全に混乱しています。 Pythonを知らないが、インターネットで質問の答えを検索できる人（私）によってPython3で書かれました。これは、一般的なプログラミングの知識と相まって、Pythonでプログラムを書くことを可能にしました。多くの人



がすでにこれについて話しているので、SSH作業のためのRaspberryPiの準備についてはここでは話しません。問題のコードはGitHubでホストされています。それはいくつかのファイルで表されます。最初のファイルはこれでpialert.py、システムの起動時に開始されます。 2番目のファイルtm1637.pyは、RaspberryTipsサイトのこの資料から取得したライブラリです。



私のPythonプログラムは、すべての要求をリッスンするHTTPサーバーとして機能します（本番用ではないことはわかっていますが、それでも単純なホームプロジェクトです）。これはシングルスレッドプログラムであるため、リクエストが多い場合は失敗する可能性があります。プログラムはURLが到着するのを待ち、URLが登録されている場合は、アクションを実行します。アクションは、Blinkt！のLEDをLarson Scannerスタイルでオンにし、カウンターを増やすことです。LEDの色の選択は、URLによって異なります。



私は4色を使用しています：

1. 青-WordPressサイトで攻撃が行われたことを示します。
2. 赤-サーバーAに対するSSH攻撃。
3. 紫-サーバーBに対するSSH攻撃。
4. 緑-サーバーCに対するURL攻撃。

おそらく、時間の経過とともに、デバイスによって記録された一連の攻撃を拡大していきます。しかし、現在でも、サーバーに接続せずにイベントに遅れないようにすることができます。



私のコードでは、エラーは処理されず、発生する可能性のあるカウンターオーバーフローは監視されません。このプログラムは、とりわけ、私のホームネットワークでさえ、特別なURLの要求という形で絶えず攻撃されていることを示しています。攻撃者は、発見した脆弱性を介してネットワークにアクセスしようとします（これにより例外がスローされますが、プログラムは停止しません）。



プロジェクトの作業中に解決しなければならなかった最後のタスクの1つは、RaspberryPiのセットアップでした。つまり、ロード直後にスクリプトを起動するボードが必要でした。そうすれば、すべてが正常に機能します。この問題は、ファイル/etc/rc.localを編集することで解決されます。私はviエディターを使用して、プログラムの起動に通常使用されるコマンドをファイルに追加しました。

python3 /home/pi/PiAlert/pialert.py &

その後、私が解決しなければならない問題は1つだけ残っていました。それは、ホームネットワーク上にあり、ファイアウォールの背後にあり、動的IPアドレスを持つRaspberryPiへのVPSへの中断のないアクセスを提供することでした。ダイナミックDNS、またはそこにある無数のサービスのいずれかを使用できます。ただし、セルフホストのRedditコミュニティの誰かが無料のサービスfreemyip.comを作成しました、これは私が解決する必要のある問題を正確に解決します。そして彼はそれをうまく解決します。このサービスはまだあまり人気がなく、無料であるため、長い間このサービスが維持されることはないと確信しています。しかし、作業がいかに簡単かを考えると、喜んでお金を払います。同じコミュニティで別の興味深いサービスsliceport.comを見つけました。いつかやってみます。

結果

PiAlertデモンストレーションは、映画からクールなハッキングの事のいくつかに比較することはできませんデバイスです。その目的は、毎日何千ものボットがアクセスしてはならないものにアクセスしようとしていることを思い出させることです。私が作成したデバイスは、そのような試みに関する情報を現実の世界に転送するだけで、それらを思い出させます。可愛く出てきました。



PiAlertについて他にどのような良いことが言えますか？デバイスはニュートラルに見​​え、非常に柔軟性があります。現状では不要になった場合は、コードを書き直して時計に変えることができます。または、自分のサイトのページへのアクセスのカウンターに変えることもできます。実際、RGBLEDと4桁のディスプレイを使用するためのオプションはたくさんあります。さらに、私のデバイスはコンパクトであることが判明しました。コードを書くと、机の前に立って、世の中に悪いことをしている人がいることを思い出させてくれます。 PiAlertは動作に必要な電力が非常に少ないため、バッテリーで実行できます。 WiFiネットワークに接続できる限り、家のどこにでも配置できます。そこでは単にその仕事をします。また、別のネットワークが必要な場合は、SSH経由でRaspberry Piに接続するか、新しいファイルを作成するだけで十分です。wpa_supplicant.confで/boot。



結果として、私のコードはもちろんあまり見栄えが良くないことに注意したいと思います。リファクタリングすることができ、リファクタリングする必要があります。Pythonを学んだことがあれば、すぐにそれを行います。ボディも改善できます。また、ある種の3Dモデリングプログラムをマスターすれば、ボディに取り組みます。しかし、これを考慮に入れなければ、私は自分のしたことに満足していると言えます。



PiAlertのようなデバイスを作ることを計画していますか？