« デジカメの電池とか・・・ | トップページ | Hellsingとか・・・ »

2006.05.24

SSHへのアタックが来まくり・・・の続き

一昨日書いたSSHへのアタックの件
結構良い感じなので実際にブロックするようにした。
ってしたのは昨日だけど(^^;

結果、ログが静かになった(^^;

後は、iptablesに登録したヤツをexpireする処理だなぁ・・・
まぁ、登録するようなヤツはず~っとお断り(謎)でも良いんだけど、それだとiptablesがどんどん膨らんで行くので、それもちょっとヤだしなぁ

一昨日書いた後、色々探してたら、他にiptables の ipt_recent で ssh の brute force attack 対策というページをみつけたんだけど、これだと時間と回数だけで評価してるから、成功した接続でも止まってしまう。
だからWinSCPとか使って大量(!=大容量)のファイルを転送したりすると、短時間に沢山コネクション張ってしまうので、rejectされてしまったりするんじゃないかなぁ?
まぁscpじゃなくてsftp使うようにするとかすれば良いのかもしれないけど。

他に、ssh自体の機能を使うSSHピンポンダッシュを防ぎたいというのもあったけど、これだと結局ログは書かれてしまうのでわ?
って試せばいいんだけど(^^;
それに、ウチのように複数台のサーバがある場合は、どれかにアタックが来たら入り口で止めてしまえば、他のサーバには来なくなるので、こういう一台ずつの設定よりは良いかな?と・・・

ま、とりあえず今のスクリプトでうまい事止められてるようだから、これでしばらく様子を見よう(^^;

|

« デジカメの電池とか・・・ | トップページ | Hellsingとか・・・ »

パソコン・インターネット」カテゴリの記事

コメント

> ウチのように複数台のサーバがある場合は、どれかにアタックが来たら入り口で止めてしまえば

その情報、ウチとかと共有したいものです。

投稿: phinloda | 2006.05.25 02:05

>phinlodaさん
データを共有するのは構わないんですが、ウチの会社で管理しているお客さんの所のサーバ(場所が別なので、IPアドレスも離れている)へのアタックと照らし合わせて見ても、かなり関連性が薄い感じです。
たとえば、直近1ヶ月分のアタックをログから拾ってみると、ウチのサーバが143件(IPアドレスベース)、お客さんのサーバ(こちらはパスワード認証不可にしてある)が105件で、そのうち共通のIPアドレスから来てるのは14件しかありません。
その上、どちらが先という事も無く、翌日に来てる場合もあれば1ヶ月近く差がある場合もあります。
なので、アドレスブロックの離れた所からの情報を元にアクセス制限するのであれば、数ヶ月は維持しておかなくては有効に機能しないんじゃないかという気が・・・
とすると、数百件のアドレスを登録する破目に・・・(^^;

投稿: <セルダン> | 2006.05.25 17:12

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/4003/10224917

この記事へのトラックバック一覧です: SSHへのアタックが来まくり・・・の続き:

« デジカメの電池とか・・・ | トップページ | Hellsingとか・・・ »