早川@名古屋 です。 すずきさん、室さん、レスありがとうございます。 DMでもPortsentryというツールをご紹介いただきました。 on 04.9.17 3:35 PM, Kazuhiro Suzuki at catnap@xxxxxxxxxxxxxxxxx wrote: > pamでパスワード入力3回失敗すると、 > > Sep 17 15:11:53 valhalla sshd(pam_unix)[20084]: 2 more authentication > failures; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=xxx.xxx.xxx.xxx > user=root > > のようなログが/var/log/messagesに出ます。 > これをswatchで監視し、iptablesと連携すれば可能です。 残念ながら、一連のsshスキャン(に使われているクラックツール)では 1回ごとにトライしてくるので、この方法は使えないようです。 ログやポートを監視してiptablesで閉めるというタイプのツールが いくつかあるようですので、 詳細を調べて使いやすいのを見極めたいと思います。 sshd自身が動的にIPアドレスを制限する機能を持って、 デフォルトで問題に対処して欲しいというのが本音ではあるんですが。 * * * なお、クラックツールの情報などは簡単にみつかりますが、 どれも同じタイプ(元が同じ)で徐々に進化?しているようです。 あと、調べていて気がついたのですが、 Vine謹製のopenssh-serverパッケージは rootログインがデフォルトでnoになっていますが、 オリジナルではデフォルトがyesになっていた(いる??たいですね。 (/etc/ssh/sshd_configのPermitRootLoginの項) それから、ご存じの方はご存じの、 <http://www.mynetwatchman.com/default.asp> でIncident情報を調べることができますが、 当初のころは先方(踏み台)のサーバーのIPアドレスを検索すると Incident情報が出てくることが多かったんですが、 最近では何も表示されないことが多く、 クライアントマシンの踏み台が増えているのかもしれません。 室さんがおっしゃっているのもそういうことですよね? (グローバルアドレスではない→固定アドレスでない) -- With your dreaming, with your smile. Hayakawa, Hiroshi <hayakawa@xxxxxxxxxxxxxxx> Nagoya,Aichi,JAPAN ☆彡