BLOGTIMES
« :: »
2005/12/15

遅ればせながらbrutessh対策

  ssh  iptables 
このエントリーをはてなブックマークに追加

sshにブルートフォースアタックが来ていることはずいぶん前からわかっていたんですが、最近はいろいろと変種が登場しているようで、ログイン名の辞書が日本語になっていたりするものもあります。そんなアタックのログを微笑ましく見ていたんですが、そんな変種の中にはログイン試行回数がやたらと多いものがあるようで、デイリーのレポートメールの容量が数メガになってしまうようになりました。

これはさすがに笑えなくなってきたので対策をすることにしました。

まず、下調べ

ちょっとググるとたくさん情報が出てきます。まとめサイトとしてはこの2つが情報がまとまっていて見やすいです。

これらのサイトを参考に検討した結果、ログをスキャンする形式のものだと、かなり頻繁にログをスキャンしないといけなさそうなので、iptablesを使って短時間に一定以上の接続をしようとするとブロックすることにしました。

具体的なスクリプトは「(ひ)メモ - ipt_recent」を参考に多少カスタマイズ*1して使っています。

sshdの設定

いろいろ調べていてsshって複数のポートをlistenできることを初めて知りました。

[ssh:00251] Re: FYI: SSHサーバーへの攻撃が増加傾向,侵入後はフィッシング・サイトに悪用も

sshd は複数のポートを同時に listen できるので、sshd_config に
Port 22
Port XXX
のように Port を 2個書きます。

ipt_recentを使う方法だと、プロトコルのステートを認識していないのでsshdの認証結果と関係なく(つまり、sshにちゃんとログインできた場合であっても)一定時間に一定回数以上ログインをするとサーバから接続拒否をされるようになってしまいます。

そのため、この設定を使って標準ポートでない方はipt_recentの制限をかけないように設定してみました。これでたくさんコンソールを開かなくてはならないような作業でも大丈夫ですね。しばらくこの設定で様子見をしようと思います。

  • *1: 諸般の事情によりアクセス禁止にしているネットワークがあるので。

by hsur at 22:33 [1年前][1年後][2年後][3年後][4年後][5年後] |
こんな記事もあります 「listen SSH ポート
2024 年の人気エントリ Top 100
Celestica Seastone DX010 という 100GbE スイッチを手にいれた
さくらの DKIM/DMARC 対応は 1/31 11:00 ~ 順次リリース
日教組の教研集会で電磁波過敏症が議題に
IT パスポート試験の実施がシステム障害で中止に
Word で任意の場所に出現順に連番が振りたい
実家玄関のセンサーライトを交換
2023 年の人気エントリ Top 100
Okta から情報漏洩のお知らせが届いた
yuwell yx110 パルスオキシメーター
トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/1202
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン

« :: »
Copyright © 2004-2023 by CLES All Rights Reserved.