SSHに辞書攻撃のログがでてたので対応

2010/03/30 | By KUMA | Filed in: 技術メモ.

セキュリティ関連のログを見ていたら、ここ最近SSHの辞書攻撃が行われていた形跡があった。

SSHは 公開鍵認証+パスフレーズでのログインのため、単純な辞書攻撃では問題ないがログ大量に湧くのはがウザイので、対応することにした。

ここページを参考にさせていただいた。ありがとうございます。

Redhat系(Fedora/CentOS含む)では/etc/sysconfig/iptablesのsshの設定の前あたりに以下の2行を追加して”/etc/init.d/iptables restart”すればいいと思います。

/etc/sysconfig/iptables:

-A RH-Firewall-1-INPUT -p tcp –dport 22 -m state –state NEW -m recent –set –name SSH

-A RH-Firewall-1-INPUT -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 60 –hitcount 8 –rttl –name SSH -j DROP

これで1分間に8回以上のリクエストがあったらドロップするようになる。
自分のサーバではもっと条件厳しくしたけどね。


Tags: , ,

Comments are closed here.