こんにちは、すずき です。 > -----Original Message----- > From: HAYAKAWA Hiroshi [mailto:hayakawa@xxxxxxxxxxxxxxx] > Sent: Friday, September 17, 2004 9:29 AM > To: vine-users ML > Subject: [vine-users:067740] sshクラックへの対策 > > > 早川@名古屋 です。 > <略> > そしてここ最近、rootでのトライを延々と行なうタイプがやってきました。 > (218.18.107.38から) > 朝起きて気がついたので、/etc/hosts.allow を修正して、 > そのIPアドレスを含むざっくりとした範囲ごと不可にして対応しました。 > > rootではsshログインできないようになっているので、 > ソフトウェアに穴がない限りは無意味なトライだとは思いますが、 > ちょっとなにか手を打った方がいいかなと思っています。 まずは、公開鍵認証を使って、パスワード認証を止める。 あと、単純ですがポート番号をデフォルトの22番から変えるのも手です。 > * * * > > 例えば銀行のATMのように、 > 同じIPアドレスから(同じユーザー名で)3回トライして失敗したら、 > そのIPアドレスもしくは一定の範囲のIPアドレスからは > 当分(あるいは解除するまで)アクセスできないようにする、 > といったツールがあれば便利?そうに思うのですが、 > そういったツールは存在しますでしょうか? > またみなさんはどのような対策をとられていますか? pamでパスワード入力3回失敗すると、 Sep 17 15:11:53 valhalla sshd(pam_unix)[20084]: 2 more authentication failures; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=xxx.xxx.xxx.xxx user=root のようなログが/var/log/messagesに出ます。 これをswatchで監視し、iptablesと連携すれば可能です。 ------ /etc/swatchrc ------------ watchfor /2 more authentication failures/ exec /usr/local/bin/ssh-drop $15 ----------------------------- ------ /usr/local/bin/ssh-drop -------- #!/bin/sh /sbin/iptables -I INPUT -s `echo $1 | sed 's/rhost=//g'` -j DROP /usr/bin/logger Host $1 has been blocked ---------------------------------------- Sep 17 15:11:53 valhalla sshd(pam_unix)[20084]: 2 more authentication failures; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=xxx.xxx.xxx.xxx user=root Sep 17 15:11:54 valhalla 9月 17 15:11:54 root: Host rhost=xxx.xxx.xxx.xxx has been blocked ------------------------------------------------------------------- すずき E-mail: catnap@xxxxxxxxxxxxxxxxx http://catnap.at.infoseek.co.jp/