ssh攻撃

sshのブルートフォース攻撃,たいへんうざいので,少し制限をすることにした。私のサーバにssh/sftpできなくなった場合は教えてください。

解説:少し前からsshでユーザ名・パスワードの組合せを延々と試してくる攻撃が流行っている。私のサーバももちろんさんざん攻撃されている。実際にこれでrootを取られた話を身近な人から聞いた。学生なんかが初期パスワードを「覚えやすい」ものに変えると起きるようだ。昔はパスワードは受け取ったらすぐに変えさせるのがセキュリティ教育の一つだったが,今は初期パスワードを変えさせない(少なくともパスワードの強度の概念が十分理解できるようになるまでは)のが正しいようだ。いったん一般ユーザで入られたらいろいろな手段でrootを取られる可能性がある。もちろんパッチはすぐに適用しているが,パッチが出る前に攻撃されたらたまらない。

で,フィルタリングの方法だが,最初,学内のマシンと,逆引きできるjpドメインを通すようにしたが,bbtec.netからアクセスしている学生がいた。他にjp以外の日本のプロバイダはあるだろうか。

具体的には /etc/hosts.deny に

ALL : ALL

と書き,/etc/hosts.allow に

ALL : 133.67. .jp .bbtec.net

などと書けばいい。ssh以外はすべて切るなら後者の ALL は sshd とすればいい。

ポート番号変えると

ポート番号変えると静かになります。

ドメインで制限してるとDNS引けなくなったときに入れなくなりますよ。

一番いいのはパスワード認証やめることですね。

ありがとうございま

ありがとうございます。将来的にはポート変えるのがいいですね。とりあえず周知するまでは現状をあまり変えられないので。DNS引けなくなったら困りますが私は入れるので。:-)

ssh の brute force アタックパケットの制限 -- DoS 的パケットをフィルタリングする

お使いの OS が不明なので外す可能性があるのですが、もし iptables (http://www.netfilter.org/) をお使いならば、一定時間内に受け付けるアクセス数を制限することが可能です。

ssh のパスワードアタックというと、ふつうは同じ IP アドレスから高頻度で接続してくるわけで、例えば 1分間に 5回以上接続を試みた IPアドレスからの接続は 10分間ブロックする、などの設定を iptables で行うことで、排除することができると思います。

私の職場の例:
http://dsas.blog.klab.org/archives/50208645.html

私の自宅の例:
http://blog.gcd.org/archives/50148565.html

ありがとうございま

ありがとうございます。今のところ攻撃してくるのはすべて*.jp以外ですので100%防げていますが,国内の逆引き可能なところからやってくれば考えなければなりませんね

自分はPCにlinuxを入れ

自分はPCにlinuxを入れてルータにしているのですが
某2カ国からport22,80をチョメチョメされることが多くて気持ち悪かったので
APNICからリストを拾ってきてAPNIC管理の日本以外の国を弾くルールをiptablesで設定するスクリプトを書いて
cronで一日一回動かすようにしたらかなりログがきれいになりました。
#海外出張を考慮しなければ日本のみをアクセス可のほうがよさげ

それでも国内からport22へのブルートフォースアタック、
port80へのDos的なアクセスが行われることもあるので
ログを監視してルールにマッチしたらiptablesで該当IPを一定時間弾くdaemonをperl+POEで組んで
port22は1回パスワードを間違えると10分間遮断
port80はHTTPリクエストでホスト名が自分で設定したもの以外の場合、もしくは動的なページを短時間に閾値を超える回数でアクセスをした場合は1時間遮断
するようにしたらだいぶ静かになりました。

ポート80は最近調べて

ポート80は最近調べていませんでしたが無意味なアクセスがまだそんなにありますか。また調べてみます

コメントの表示オプション

お好みの表示方法を選択し、「設定の保存」をクリックすると、表示方法を変更することができます。