sshへのアタック対策
久しぶりに自宅サーバをメンテナンス。ログを見ているとssh関連のログが結構あることに気がついた。ちょっと解析してみる。
grep 'Illegal user' /var/log/auth.log | awk '{print $8}' | sort | uniq | wc -l
598
598人もの名前でアタックしてきている・・・
どんな名前か見てみると
grep 'Illegal user' /var/log/auth.log | awk '{print $8}' | sort | uniq
- aa
- aaa
- aaron
- abby
- abe
- abel
- academy
- account
- acct
- adachi
- adam
- adine
- adm
- admin
- admin1
- administracion
- administrator
- admissions
- adrian
- adrianna
- adrianne
- adrienne
- advisor
- agano
- ageda
- agents
- agostino
- ahmed
- ai
- aida
- airparts
- airservice
- aizawa
- akane
- akimoto
- akita
- akiyama
など日本人名も含めて結構ある。またcannaやsamba、namedといったサービスで使われるものも多い。
パスワード認証はしていないので入られた形跡はないのだけどちょっと設定変更。
まず連続アタック(ピンポンダッシュ)を拒否。sshd_configの以下の行を変更
MaxStartups 2:80:5
これはIT Mediaの記事そのまんま。
あとはsshのポートを買えるのが一番有効かも。なにしろ自分しか使わないんだから。
| 固定リンク
コメント