セキュリティ関連のログを見ていたら、ここ最近SSHの辞書攻撃が行われていた形跡があった。
SSHは 公開鍵認証+パスフレーズでのログインのため、単純な辞書攻撃では問題ないがログ大量に湧くのはがウザイので、対応することにした。
ここページを参考にさせていただいた。ありがとうございます。
Redhat系(Fedora/CentOS含む)では/etc/sysconfig/iptablesのsshの設定の前あたりに以下の2行を追加して”/etc/init.d/iptables restart”すればいいと思います。
/etc/sysconfig/iptables:
-A RH-Firewall-1-INPUT -p tcp –dport 22 -m state –state NEW -m recent –set –name SSH
-A RH-Firewall-1-INPUT -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 60 –hitcount 8 –rttl –name SSH -j DROP
これで1分間に8回以上のリクエストがあったらドロップするようになる。
自分のサーバではもっと条件厳しくしたけどね。
Comments are closed here.