vine-users ML アーカイブ



[vine-users:067742] Re: sshク ラックへの対策

  • From: "Kazuhiro Suzuki" <catnap@xxxxxxxxxxxxxxxxx>
  • Subject: [vine-users:067742] Re: sshク ラックへの対策
  • Date: Fri, 17 Sep 2004 15:35:47 +0900
こんにちは、すずき です。

> -----Original Message-----
> From: HAYAKAWA Hiroshi [mailto:hayakawa@xxxxxxxxxxxxxxx]
> Sent: Friday, September 17, 2004 9:29 AM
> To: vine-users ML
> Subject: [vine-users:067740] sshクラックへの対策
>
>
> 早川@名古屋 です。
>
<略>
> そしてここ最近、rootでのトライを延々と行なうタイプがやってきました。
> (218.18.107.38から)
> 朝起きて気がついたので、/etc/hosts.allow を修正して、
> そのIPアドレスを含むざっくりとした範囲ごと不可にして対応しました。
>
> rootではsshログインできないようになっているので、
> ソフトウェアに穴がない限りは無意味なトライだとは思いますが、
> ちょっとなにか手を打った方がいいかなと思っています。

まずは、公開鍵認証を使って、パスワード認証を止める。
あと、単純ですがポート番号をデフォルトの22番から変えるのも手です。

>  * * *
>
> 例えば銀行のATMのように、
> 同じIPアドレスから(同じユーザー名で)3回トライして失敗したら、
> そのIPアドレスもしくは一定の範囲のIPアドレスからは
> 当分(あるいは解除するまで)アクセスできないようにする、
> といったツールがあれば便利?そうに思うのですが、
> そういったツールは存在しますでしょうか?
> またみなさんはどのような対策をとられていますか?

pamでパスワード入力3回失敗すると、

Sep 17 15:11:53 valhalla sshd(pam_unix)[20084]: 2 more authentication
failures; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=xxx.xxx.xxx.xxx
user=root

のようなログが/var/log/messagesに出ます。
これをswatchで監視し、iptablesと連携すれば可能です。

------ /etc/swatchrc ------------
watchfor /2 more authentication failures/
        exec /usr/local/bin/ssh-drop $15
-----------------------------

------ /usr/local/bin/ssh-drop --------
#!/bin/sh
/sbin/iptables -I INPUT -s `echo $1 | sed 's/rhost=//g'` -j DROP
/usr/bin/logger Host $1 has been blocked
----------------------------------------

Sep 17 15:11:53 valhalla sshd(pam_unix)[20084]: 2 more authentication
failures; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=xxx.xxx.xxx.xxx
user=root
Sep 17 15:11:54 valhalla  9月 17 15:11:54 root: Host rhost=xxx.xxx.xxx.xxx
has been blocked

-------------------------------------------------------------------
     すずき             E-mail: catnap@xxxxxxxxxxxxxxxxx
                       http://catnap.at.infoseek.co.jp/