2012.06.10

【サーバー】SSHへの攻撃の問題への対処

サービスが落ちる原因はこれなのかもしれない。

MySQLがおちた

昨日の夜にこのブログを覗いたらMySQLサーバーが落ちていた。
さすがにMySQLが落ちるのはなにか問題が起きていると思いいろいろ調べてみました。

んで、不正ログインをされていないかとSSHのログイン処理をみたところ
総当りチェックの攻撃をされているのを発見。

以前からWebサーバーなどが落ちていたわけだが理由はこれではないかなと思ってみる。

ということで、SSHへの攻撃の問題への対象方法を調べてみる。

対処方法の検討

記事が古いが参考になりそうなのはこれでしょうか。
Link:SSHブルートフォース攻撃が増加、SANSが対策を紹介 - ITmedia ニュース

対処法としては以下のようなことをするとよいらしい。

1. TCP 22番以外のポートにSSHサーバを導入する
2. SSHブルートフォース防止のためのツールを導入する
3. リモートのルートログインを不許可にする
4. PasswordAuthenticationを禁止に設定して鍵を利用する
5. パスワードを使わなければならない場合は複雑なものにする
6. AllowGroupsを使って特定のユーザーグループのアクセスを制限する
7. 可能であればSSHにchroot jailを利用する
8. SSHに接続できるIPレンジを制限する

現在の問題としては攻撃BOTからログインテストを連打されて
ほかのサービスに迷惑をかけないことが重要。

まずは通常ではない方向へ持っていく方法しようと思います。
対処としては1.を行います。

設定修正

/etc/ssh/sshd_configを修正します。
変更箇所はこんな感じ

Port (開いてるポート番号)
MaxStartups 2:80:5

MaxStartupsについてはここを参考
Link:ITmedia エンタープライズ : Linux Tips「SSHピンポンダッシュを防ぎたい」

これでsshdの再起動をすると以前のようにアクセスできないことを確認。
指定したポートに変更することでログインができるようになります。


まずはこれで様子を見て更なる対処を検討しないといけないかもしれません。

実用SSH 第2版―セキュアシェル徹底活用ガイド 実用SSH 第2版―セキュアシェル徹底活用ガイド
Daniel J. Barrett Richard E. Silverman Robert G. Byrnes 小島 肇

オライリー・ジャパン 2006-11-22
売り上げランキング : 105701

Amazonで詳しく見る by G-Tools

Pocket

ニャッキ格闘列伝 > サーバー >

前の記事:
次の記事:

コメントリスト

コメントなし

コメント



*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

こんなタグが使えるみたいよ:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>