- PR -

sshアタッキングに対する対処は。。。

«前のページへ 1|2
投稿者投稿内容
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-05-12 00:54
こんばんわ.
引用:

jinさんの書き込み (2006-05-12 00:29) より:

/etc/hosts.allowに接続許可Ipを入れたいのは山々なのですが、
突然サービスを変えるとユーザからクレームが着ますので、まずはひたすら
行うことにしました。

状況から察するに,他の方法でいろいろやってくることも考えられます.
hosts.deny は ssh だけではなく
ALL : ip
としておいたほうがよろしいのでは?
引用:

あともうひとつ質問です。
hosts.allowには
All:All
と記述しないといけないでしょうか。
または何も記述しなくても大丈夫でしょうか。

接続を制限したいなら hosts.allow に ALL : ALL とやってはいけません.

hosts.allow -> hosts.deny の順に評価されます.
つまり,hosts.allow に書かれていれば許可されて,
該当する条件がなければ hosts.deny に書かれている内容で拒否して,
いずれにも該当しなければ接続できたと思います.
なので普通は
・hosts.allow で許可したい条件を記述
・hosts.deny で ALL : ALL と記述
することで制限すると思います.

TCPwrapper/Netfilter の他に,sshd_config でも接続制限はできたりします.
が,やはり Netfilter で恒久的にその IP address からの接続を
drop するのが良い気がしますけど...

以上,ご参考までに.
jin
ベテラン
会議室デビュー日: 2004/03/11
投稿数: 96
投稿日時: 2006-05-13 19:05
こんばんわ
[/quote]
接続を制限したいなら hosts.allow に ALL : ALL とやってはいけません.

hosts.allow -> hosts.deny の順に評価されます.
つまり,hosts.allow に書かれていれば許可されて,
該当する条件がなければ hosts.deny に書かれている内容で拒否して,
いずれにも該当しなければ接続できたと思います.
なので普通は
・hosts.allow で許可したい条件を記述
・hosts.deny で ALL : ALL と記述
することで制限すると思います.

TCPwrapper/Netfilter の他に,sshd_config でも接続制限はできたりします.
が,やはり Netfilter で恒久的にその IP address からの接続を
drop するのが良い気がしますけど...

以上,ご参考までに.

[/quote]

hosts.allowに以下のように記述することにいたしました。

All : IP : deny

コレで少しは、対策になるかなと思います。
少し、コレで様子を見ることにします。

ありがとうございました。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-05-13 20:22
こんばんわ.
引用:

jinさんの書き込み (2006-05-13 19:05) より:

hosts.allowに以下のように記述することにいたしました。

All : IP : deny

コレで少しは、対策になるかなと思います。
少し、コレで様子を見ることにします。

hosts.allow ではなく hosts.deny に
ALL : IP
ではないのですか?
jin
ベテラン
会議室デビュー日: 2004/03/11
投稿数: 96
投稿日時: 2006-05-14 01:41
kazさんご指摘ありがとうございます。
hosts.denyでした。

hosts.denyに
All : IP

と書きました。
末記人
大ベテラン
会議室デビュー日: 2005/12/05
投稿数: 233
お住まい・勤務地: あわにこ
投稿日時: 2006-05-14 12:11
こんにちは

ipt_recentを使うという方法もあります。

http://www.google.co.jp/search?hl=ja&q=iptables+ipt_recent&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja

同じIPから一定時間に一定回数以上接続があった場合は設定時間ブロックするという設定ができます。

ただし正規の接続も拒否されてしまうので注意が必要ですが...
jin
ベテラン
会議室デビュー日: 2004/03/11
投稿数: 96
投稿日時: 2006-05-14 17:07
こんにちは

こういうのもあったのですね。
少し勉強して検討してみます。
かつ
ベテラン
会議室デビュー日: 2006/04/04
投稿数: 56
投稿日時: 2006-05-15 19:06
私も自宅サーバに同様のアクセスがありましたが、sshを22/tcpから別のポート(2022・tcpとか)に変更したところ、アクセスが全く来なくなりました。

sshd_configでポートを変更しても良いと思いますが、外部のFirewallなりブロードバンドルータなりで、ポート変換してあげれば、サーバ側の変更は不要です。

変更してから、そろそろ2年経ちますが、その間一回も不正アクセスがありません。
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)