2012.06.10
【サーバー】SSHへの攻撃の問題への対処
サービスが落ちる原因はこれなのかもしれない。
昨日の夜にこのブログを覗いたらMySQLサーバーが落ちていた。
さすがにMySQLが落ちるのはなにか問題が起きていると思いいろいろ調べてみました。
んで、不正ログインをされていないかとSSHのログイン処理をみたところ
総当りチェックの攻撃をされているのを発見。
以前からWebサーバーなどが落ちていたわけだが理由はこれではないかなと思ってみる。
ということで、SSHへの攻撃の問題への対象方法を調べてみる。
記事が古いが参考になりそうなのはこれでしょうか。
Link:SSHブルートフォース攻撃が増加、SANSが対策を紹介 - ITmedia ニュース
対処法としては以下のようなことをするとよいらしい。
1. TCP 22番以外のポートにSSHサーバを導入する 2. SSHブルートフォース防止のためのツールを導入する 3. リモートのルートログインを不許可にする 4. PasswordAuthenticationを禁止に設定して鍵を利用する 5. パスワードを使わなければならない場合は複雑なものにする 6. AllowGroupsを使って特定のユーザーグループのアクセスを制限する 7. 可能であればSSHにchroot jailを利用する 8. SSHに接続できるIPレンジを制限する
現在の問題としては攻撃BOTからログインテストを連打されて
ほかのサービスに迷惑をかけないことが重要。
まずは通常ではない方向へ持っていく方法しようと思います。
対処としては1.を行います。
/etc/ssh/sshd_configを修正します。
変更箇所はこんな感じ
Port (開いてるポート番号) MaxStartups 2:80:5
MaxStartupsについてはここを参考
Link:ITmedia エンタープライズ : Linux Tips「SSHピンポンダッシュを防ぎたい」
これでsshdの再起動をすると以前のようにアクセスできないことを確認。
指定したポートに変更することでログインができるようになります。
まずはこれで様子を見て更なる対処を検討しないといけないかもしれません。
実用SSH 第2版―セキュアシェル徹底活用ガイド Daniel J. Barrett Richard E. Silverman Robert G. Byrnes 小島 肇 オライリー・ジャパン 2006-11-22 |
関連記事