読者です 読者をやめる 読者になる 読者になる

Engineer of the lawyer

I was able to pass the Network Specialist. Next target is the Project Manager.

sshブルートフォースアタック対策

LPICの練習用に利用していたサーバにsshを狙ったブルートフォースアタックがあったので以下対策を記述。


参考にしたのは下記のサイト
http://logic.moo.jp/data/archives/644.html


/etc/ssh/sshd_configの設定を変更

#許可するユーザ名を記述(ここでユーザを絞る)
AllowUsers xxxx yyyy zzzz

# 最大同時認証数を3人までに設定する
MaxAuthTries 3

# 2つを超える認証受付は90%の確率で遮断。4つを超えると全て遮断
MaxStartups 2:90:4

#念のためport番号を変更した。
port xxxx

#rootユーザでのログインを許可するか(これは当初から拒否して当然のものだが、念のため記述)
PermitRootLogin no

上記に加えて可能ならば/etc/hosts.allowやdeny、iptablesなどでアクセス元を絞った方がいいです。
自分は外出先などでも利用するため、細かな制限を行うことが難しいので日本国内のみ許可できるように現在検討中です。

流用できそうなサイトがあったので参考に設定してみた。
http://centossrv.com/iptables.shtml

設定を反映するため最後にsshdを再起動する

/etc/init.d/sshd restart

ブルートフォースアタック一覧

#ブルートフォースアタックを仕掛けた可能性のあるlogを抽出
cat /var/log/secure | grep "invalid user"
 
上記のコマンドで適当なユーザ名でアクセスを試みたユーザ名一覧を抽出した。
少なくとも下記に該当するようなユーザ名は避けた方がよさそう。
例えば、admin、guest、user、linuxなどといったユーザ名などはテストで作成したまま放置している可能性もあるので確認した方がいいと思います。(逆にhogehogeが無かった)
ユーザ名の確認はpasswdファイルを確認すればわかります。#cat /etc/passwd
また、sshd_configのAllowUsersで接続させるユーザ名を制限すればOKです。

admin
adrian
advanced
albert
alberto
alex
Alin
amanda
american
andrea
andreas
andrew
anne-marie
annmarie
antonio
app
archive
archivo
ariel
army
arnold
backup
bebe
beer
bercu
beth
bob
brad
brian
bruce
bwadmin
cacti
capital
carlos
cathy
charles
christian
claudia
contact
crash
daniel
danny
dario
darryl
darwin
dasusr1
data
david
db1inst1
debian
default
dennis
don
download
eagle
ed
edith
eli
elite
elke
eric
erik
erika
erwin
express
fernando
field
fluffy
ford
fotos
fran
france
fritz
ftpuser
gaby
garcia
gary
gate
ghost
gigi
gloria
greg
guest
guest1
guest10
guest2
guest3
guest4
guest5
guest6
guest7
guest8
guest9
guestuser
harry
helga
henry
house
httpd
image
info
inventory
ip
janine
jasmin
jessica
jesus
joel
jojo
jorge
josephine
juan
judith
julien
kiss
lee
library
libsys
lidia
linux
linux10
linux2
linux3
linux4
linux5
linux6
linux7
linux8
linux9
lorena
love
luis
magician
mailman
maker
mama
mantest
manuel
marcela
marck
margaret
margie
maria
mario
mark
marketing
martin
mary
math
matt
melanie
melinda
melissa
menu
michael
michelle
mike
monitor
morgan
movie
movies
mp3
music
mysql-test
neo
news
newuser
newuser1
nicholson
nick
norris
notes
operador
oracle
orders
paint
paola
papa
parking
pascal
patricia
paul
payne
pete
petitto
postmaster
professor
profit
progmaster
proxy
rabbit
raider
ralph
randy
redhat
richard
rob
roberto
robin
rocky
rookie
rosa
ross
roxana
rpm
sabina
sales
salva
samba
sara
scanner
scott
sean
security
sendmail
serials
server
service
simon
smmsp
smoke
sns
software
sophie
spammer
spider
status
stephane
stephen
steven
super
suzanne
suzi
taller
tanya
telephone
temp
teresa
terry
test
test1
test10
test2
test3
test4
test5
test6
test7
test8
test9
tiger
tina
todd
tom
tose
update
upload
user1
user10
user2
user3
user4
user5
user6
user7
user8
user9
victor
virus
web
webapp
webuser
wendy
will
windows
wolf
wolfe
work
worker
www
www-data
www-ssl
zxin10
zxin20
zznode

実はapacheのaccess_logを確認しているとphpMyadminを狙ったログも検出されました。
幸い被害は無かったですが、一時的にapacheのサービスを落として対策を検討中です。

参考サイト
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/019.html


下記を定期的に確認した方がいいかもです。
怪しいログが一定数以上溜まったらメールを飛ばすような仕組みを後々実施したいです。


一般的なシステムに関する情報
/var/log/messages

セキュリティに関する情報
/var/log/secure

apacheのアクセスログ
/var/log/httpd/access_log

apacheのエラーログ
/var/log/httpd/error_log