SSH規定ポート(22)以外へのブルートフォースアタック?
SSHの待機ポートを変更して、無差別のパスワード試行を繰り返すブルートフォースアタックを避ける、という手法はお手軽でよく利用するのですが、どうやらそれも考慮して22番以外のポートにもアタックをしかけてくるスクリプト(ボット?)が出現し始めているようです。
以下は参考URLのコメントで紹介されていた「20秒以内に繰り返される接続は拒否する(大雑把です)」というファイアウォール(iptables)の設定方法です。簡単なパスワードでログインできるユーザを残さないのは最低限で、出来れば接続元のIPや鍵ペアによる認証も組み合わせていった方が良さそうです。
# iptables -A INPUT -p tcp -m tcp -m state -m recent --dport 22 --state NEW -j DROP --rcheck --seconds 20 --name THROTTLE --rsource
# iptables -A INPUT -p tcp -m tcp -m state -m recent --dport 22 --state NEW -j ACCEPT --set --name THROTTLE --rsource
参考URL
- EnglishWorm.com
- SinglesFan.com
- LmLab.net
- サイトマップ
- 運営者について
