セキュリティに関して

Question

現在 専用サーバーでcentos4.6、webminを利用し、サイト運営を行っています。
専用サーバーlinux関連にあまり詳しくありません。

セキュリティに関してちょっと不安になったのでいろいろ調べてみたところ
/var/log/secureに
3分おきにあるipからアクセスし、Failed password for invalid userになっているログがありました。
例えば同じipから、5回エラーが出ると自動的にブラックリスト入りし、ログインもアクセスもできないような設定はないのでしょうか？

特定のIPからのみのアクセス許可に設定すると自分が利用しているプロバイダが時々ＩＰを変更しています。その為、自分がアクセスできなくなるのであきらめました。

現状は、webminはip設定（制限）は行っています。
sshなどのlinuxへのip設定（制限）は行っていません。
Linux ファイヤウォールの/etc/sysconfig/iptablesは設定していません。


又、サーバーのセキュリティ関連で/var/log/secure以外チェックするところはありますか？
他に良い案があれば教えてください。

Wr5 · Accepted Answer

>3分おきにあるipからアクセスし、Failed password for invalid userになっているログがありました。

大量にあるならSSH ブルートフォースアタック…でしょう。
パスワード認証で、たまたま辞書に載っていたユーザー名＆パスワードだと突破される可能性がありますのでご注意を。

pamでのアカウントロックに関しては…数日前に試行してみました。
存在しないアカウントについては当然ロックできません。
# 存在しないからログインされることもありませんけど。

>例えば同じipから、5回エラーが出ると自動的にブラックリスト入りし、ログインもアクセスもできないような設定はないのでしょうか？

標準の方法ではありません。
syslogデーモンをsyslogd-ngに変えるか、swatchでログの監視をするようにした上で、
iptablesでブロックする方法ならありますが…
Pythonスクリプトでブロックするものもあるようです。
http://www.google.co.jp/search?hl=ja&source=hp&q=SSH+%E3%83%96%E3%83%AB%E3%83%BC%E3%83%88%E3%83%95%E3%82%A9%E3%83%BC%E3%82%B9%E3%82%A2%E3%82%BF%E3%83%83%E3%82%AF%E5%AF%BE%E7%AD%96&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=&aq=f&oq=

私の方では…以前ログがうるさくなるのでSwatch+iptablesで対策したことはありますが…
# ちなみに、AllowUsersで制限した上に公開鍵認証オンリーでしたが。
現在は外部向けは非標準ポートに変更しています。
こっちの方が無駄なログが出なくて済むので…。

>サーバーのセキュリティ関連で/var/log/secure以外チェックするところはありますか？

Webサーバ起動しているのであれば、そちらのログも監視対象かと。

pakuti · Answer

pamでアカウントロックの設定は可能です。

sshへの対応は、ポートを変更してsshdを立ち上げる
鍵認証にする

等も可能かと思います。

ログに関してですが
messagesにもssh関連は吐き出されるかと思います。

セキュリティに関して

>3分おきにあるipからアクセスし、Failed password for invalid userになっているログがありました。

pamでアカウントロックの設定は可能です。

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング