sshのアタック対策=ポート番号変えるのも手っ取り早い
たまには技術TIPSなど。
自宅サーバなりレンタルサーバなりに対してリモートでssh接続を使っている人も多いと思うが、ユーザ&パスワードの総当りによる攻撃に見舞われることは日常茶飯事だろう。
ねらい撃ちされているということではなく、相手はIPアドレスを順に総当りしているだけのことだし、よほど簡単なパスワードでも設定していない限り破られることはないし、パスワード認証を閉じて公開鍵認証だけ使うようにしておけばその攻撃は無意味だ。
しかし、破られないとわかっていてもじゅうたん爆撃的な総当り攻撃が毎日のように数時間続くと、TCP接続の確立やsshdの反応だけでも結構なCPUを食っていることになるし、いらんエラーログは残るわ、swatchなぞしかけておいた日にはすごい数のアラートが出てしまうわで、うざったいことこの上ない。
解決策はいろいろあって、
- sshdのMaxStartups設定で絞る( ITmedia エンタープライズ : Linux Tips「SSHピンポンダッシュを防ぎたい」)
- sshdに無差別にアクセスしているIPを動的検知してファイアーウォールに登録する
だが、現実的には、sshdの待ち受けポート番号をデフォルトの22番ではなく別な番号に変えてしまうだけで、少なくとも筆者の悩みは解決してしまった。 sshd_configファイルで「Port 22」(コメントアウトされてる場合はデフォルトで22になる)となっているところを、ほかで使ってない番号(10000番台とか)に書き換えてsshdをrestartするだけ。
追記:
こんな高度なテクニックもある
DSAS開発者の部屋:ssh の brute force アタックパケットの制限 -- DOS 的パケットをフィルタリングする
2006年1月28日
Comments [0]
|
Trackbacks [0]
コメントする
(初めてのコメントの時は、コメントが表示されるためにこのブログのオーナーの承認が必要になることがあります。承認されるまでコメントは表示されませんのでしばらくお待ちください)