LPICの練習用に利用していたサーバにsshを狙ったブルートフォースアタックがあったので以下対策を記述。
参考にしたのは下記のサイト
http://logic.moo.jp/data/archives/644.html
/etc/ssh/sshd_configの設定を変更
#許可するユーザ名を記述(ここでユーザを絞る) AllowUsers xxxx yyyy zzzz # 最大同時認証数を3人までに設定する MaxAuthTries 3 # 2つを超える認証受付は90%の確率で遮断。4つを超えると全て遮断 MaxStartups 2:90:4 #念のためport番号を変更した。 port xxxx #rootユーザでのログインを許可するか(これは当初から拒否して当然のものだが、念のため記述) PermitRootLogin no
上記に加えて可能ならば/etc/hosts.allowやdeny、iptablesなどでアクセス元を絞った方がいいです。
自分は外出先などでも利用するため、細かな制限を行うことが難しいので日本国内のみ許可できるように現在検討中です。
流用できそうなサイトがあったので参考に設定してみた。
http://centossrv.com/iptables.shtml
設定を反映するため最後にsshdを再起動する
/etc/init.d/sshd restart
ブルートフォースアタック一覧
#ブルートフォースアタックを仕掛けた可能性のあるlogを抽出
cat /var/log/secure | grep "invalid user"
上記のコマンドで適当なユーザ名でアクセスを試みたユーザ名一覧を抽出した。
少なくとも下記に該当するようなユーザ名は避けた方がよさそう。
例えば、admin、guest、user、linuxなどといったユーザ名などはテストで作成したまま放置している可能性もあるので確認した方がいいと思います。(逆にhogehogeが無かった)
ユーザ名の確認はpasswdファイルを確認すればわかります。#cat /etc/passwd
また、sshd_configのAllowUsersで接続させるユーザ名を制限すればOKです。
admin adrian advanced albert alberto alex Alin amanda american andrea andreas andrew anne-marie annmarie antonio app archive archivo ariel army arnold backup bebe beer bercu beth bob brad brian bruce bwadmin cacti capital carlos cathy charles christian claudia contact crash daniel danny dario darryl darwin dasusr1 data david db1inst1 debian default dennis don download eagle ed edith eli elite elke eric erik erika erwin express fernando field fluffy ford fotos fran france fritz ftpuser gaby garcia gary gate ghost gigi gloria greg guest guest1 guest10 guest2 guest3 guest4 guest5 guest6 guest7 guest8 guest9 guestuser harry helga henry house httpd image info inventory ip janine jasmin jessica jesus joel jojo jorge josephine juan judith julien kiss lee library libsys lidia linux linux10 linux2 linux3 linux4 linux5 linux6 linux7 linux8 linux9 lorena love luis magician mailman maker mama mantest manuel marcela marck margaret margie maria mario mark marketing martin mary math matt melanie melinda melissa menu michael michelle mike monitor morgan movie movies mp3 music mysql-test neo news newuser newuser1 nicholson nick norris notes operador oracle orders paint paola papa parking pascal patricia paul payne pete petitto postmaster professor profit progmaster proxy rabbit raider ralph randy redhat richard rob roberto robin rocky rookie rosa ross roxana rpm sabina sales salva samba sara scanner scott sean security sendmail serials server service simon smmsp smoke sns software sophie spammer spider status stephane stephen steven super suzanne suzi taller tanya telephone temp teresa terry test test1 test10 test2 test3 test4 test5 test6 test7 test8 test9 tiger tina todd tom tose update upload user1 user10 user2 user3 user4 user5 user6 user7 user8 user9 victor virus web webapp webuser wendy will windows wolf wolfe work worker www www-data www-ssl zxin10 zxin20 zznode
実はapacheのaccess_logを確認しているとphpMyadminを狙ったログも検出されました。
幸い被害は無かったですが、一時的にapacheのサービスを落として対策を検討中です。
参考サイト
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/019.html
下記を定期的に確認した方がいいかもです。
怪しいログが一定数以上溜まったらメールを飛ばすような仕組みを後々実施したいです。
一般的なシステムに関する情報
/var/log/messages
セキュリティに関する情報
/var/log/secure
