スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

iptablesでssh制御

ずっとほったらかしにしていた、ssh規制についてようやく重い腰を上げた。
sshを外にオープンして以来、海外からの訪問者が相次ぎ、/var/log/secureには、

 Failed password for xxx from ...
 Illegal user xxx from ...

なんていうログだらけ。なんとかしないと偶然一致してクラックされたら大変だし(特定のユーザ以外ログインできないのでまず大丈夫だが)、なにしろログがそればかりになるのは困る。

今回、iptablesを初めて使ったので、この辺のサイトなどを参考にしながら行った。

まず、最初にイントラの特定のPCからのアクセスを規制してみた。が、規制が効かない。どうも、最初にINPUTに対してDROPのPolicyを設定して、その上で、sshの受入をし、さらに特定のマシンからのアクセスをDROPしようとしても駄目だった。やり方はあるのかもしれないが、すぐにはわからなかったので、INPUTのPolicyはACCEPTにし、規制するアドレスをDROPで上書きするようにした。
外からの入り口についてはルータのFW機能でブロックしているので、不要なポートはすべて閉じている。なのでイントラ内は特に規制せず、外から来てほしくない相手だけをブロックすることにした。こういう相手は、sshだけでなく、httpに対してもあれこれ送りつけて無駄にログがローテートするだけなので、すべて一括拒否とする。

そのための方法として、もじらさんからもらったスクリプトを使おうとした。これは、不正アクセスをしてきたアドレスをiptablesに追加し、しばらく経ったら解除するというもの。これはいいと思ってソースをざっと読んで、多少修正し、このまま使おうと思い実行してみると、環境の違いでうまく動かない。解析している時間がないのでこれはとりあえず後回し。

とりあえず海外からのアクセスをブロックすればいいと思い、国内で使われている帯域がわかればいいかと思ったが、先に次のサイトにヒットしたので、これを使うことにした。
韓国 IP アドレスからのパケットを遮断する
ここには、韓国以外にも中国・台湾・香港・インド・インドネシアもあったのでこれをすべて使うことにした。韓国・中国が大半なので、これをブロックすればとりあえずは十分だろう。

午前中に設定してから、今のところ不正アクセスはない。とりあえずこれでしのいで、時々日本やアメリカからの訪問者もあるので、その辺をスクリプトで対応していこうと思う。

関連記事
スポンサーサイト

コメント

非公開コメント

うちの

/var/log/secure

もチェックしてみたら、おなじ状況だった。

うへ~

こういうのやるヤツなに考えてるんだか・・
プロフィール

dayan

Author:dayan
小職は、SE(システムエンジニア)を専門としておりますが、技術的な情報を中心に、それ以外に経済関連の日記、たわいもない日記も載せていきます。
[公式HPもよろしく!]

天気予報

-天気予報コム- -FC2-
リンク
ブロとも申請フォーム

この人とブロともになる

カテゴリー
最近の記事
ブログ内検索
最近のコメント
最近のトラックバック
RSSフィード
月別アーカイブ


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。