セキュリティに関して

現在 専用サーバーでcentos4.6、webminを利用し、サイト運営を行っています。
専用サーバーlinux関連にあまり詳しくありません。

セキュリティに関してちょっと不安になったのでいろいろ調べてみたところ
/var/log/secureに
3分おきにあるipからアクセスし、Failed password for invalid userになっているログがありました。
例えば同じipから、5回エラーが出ると自動的にブラックリスト入りし、ログインもアクセスもできないような設定はないのでしょうか？

特定のIPからのみのアクセス許可に設定すると自分が利用しているプロバイダが時々ＩＰを変更しています。その為、自分がアクセスできなくなるのであきらめました。

現状は、webminはip設定（制限）は行っています。
sshなどのlinuxへのip設定（制限）は行っていません。
Linux ファイヤウォールの/etc/sysconfig/iptablesは設定していません。


又、サーバーのセキュリティ関連で/var/log/secure以外チェックするところはありますか？
他に良い案があれば教えてください。

No.2 ベストアンサー 回答者： Wr5 回答日時： 2010/01/25 23:02

>3分おきにあるipからアクセスし、Failed password for invalid userになっているログがありました。

大量にあるならSSH ブルートフォースアタック…でしょう。
パスワード認証で、たまたま辞書に載っていたユーザー名＆パスワードだと突破される可能性がありますのでご注意を。

pamでのアカウントロックに関しては…数日前に試行してみました。
存在しないアカウントについては当然ロックできません。
# 存在しないからログインされることもありませんけど。

>例えば同じipから、5回エラーが出ると自動的にブラックリスト入りし、ログインもアクセスもできないような設定はないのでしょうか？

標準の方法ではありません。
syslogデーモンをsyslogd-ngに変えるか、swatchでログの監視をするようにした上で、
iptablesでブロックする方法ならありますが…
Pythonスクリプトでブロックするものもあるようです。
http://www.google.co.jp/search?hl=ja&source=hp&q …

私の方では…以前ログがうるさくなるのでSwatch+iptablesで対策したことはありますが…
# ちなみに、AllowUsersで制限した上に公開鍵認証オンリーでしたが。
現在は外部向けは非標準ポートに変更しています。
こっちの方が無駄なログが出なくて済むので…。

>サーバーのセキュリティ関連で/var/log/secure以外チェックするところはありますか？

Webサーバ起動しているのであれば、そちらのログも監視対象かと。

この回答へのお礼

Swatch+iptablesは自分も調べていて対応策になるのかと考えていました。
非標準ポートに変更が妥当そうですね。
詳しく解説いただきありがとうございます。

もう一度お二人の内容を踏まえ、対応したいと思います。

お礼日時：2010/02/03 05:20

No.1 回答者： pakuti 回答日時： 2010/01/25 14:26

pamでアカウントロックの設定は可能です。

sshへの対応は、ポートを変更してsshdを立ち上げる
鍵認証にする

等も可能かと思います。

ログに関してですが
messagesにもssh関連は吐き出されるかと思います。

この回答へのお礼

回答いただきありがとうございます。
ポートを変更は使えそうです。

お礼日時：2010/02/03 05:15