現在 専用サーバーでcentos4.6、webminを利用し、サイト運営を行っています。
専用サーバーlinux関連にあまり詳しくありません。
セキュリティに関してちょっと不安になったのでいろいろ調べてみたところ
/var/log/secureに
3分おきにあるipからアクセスし、Failed password for invalid userになっているログがありました。
例えば同じipから、5回エラーが出ると自動的にブラックリスト入りし、ログインもアクセスもできないような設定はないのでしょうか?
特定のIPからのみのアクセス許可に設定すると自分が利用しているプロバイダが時々IPを変更しています。その為、自分がアクセスできなくなるのであきらめました。
現状は、webminはip設定(制限)は行っています。
sshなどのlinuxへのip設定(制限)は行っていません。
Linux ファイヤウォールの/etc/sysconfig/iptablesは設定していません。
又、サーバーのセキュリティ関連で/var/log/secure以外チェックするところはありますか?
他に良い案があれば教えてください。
No.2ベストアンサー
- 回答日時:
>3分おきにあるipからアクセスし、Failed password for invalid userになっているログがありました。
大量にあるならSSH ブルートフォースアタック…でしょう。
パスワード認証で、たまたま辞書に載っていたユーザー名&パスワードだと突破される可能性がありますのでご注意を。
pamでのアカウントロックに関しては…数日前に試行してみました。
存在しないアカウントについては当然ロックできません。
# 存在しないからログインされることもありませんけど。
>例えば同じipから、5回エラーが出ると自動的にブラックリスト入りし、ログインもアクセスもできないような設定はないのでしょうか?
標準の方法ではありません。
syslogデーモンをsyslogd-ngに変えるか、swatchでログの監視をするようにした上で、
iptablesでブロックする方法ならありますが…
Pythonスクリプトでブロックするものもあるようです。
http://www.google.co.jp/search?hl=ja&source=hp&q …
私の方では…以前ログがうるさくなるのでSwatch+iptablesで対策したことはありますが…
# ちなみに、AllowUsersで制限した上に公開鍵認証オンリーでしたが。
現在は外部向けは非標準ポートに変更しています。
こっちの方が無駄なログが出なくて済むので…。
>サーバーのセキュリティ関連で/var/log/secure以外チェックするところはありますか?
Webサーバ起動しているのであれば、そちらのログも監視対象かと。
Swatch+iptablesは自分も調べていて対応策になるのかと考えていました。
非標準ポートに変更が妥当そうですね。
詳しく解説いただきありがとうございます。
もう一度お二人の内容を踏まえ、対応したいと思います。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- VPN DNS「8.8.8.8」とは何なのでしょうか? 固定 IP アドレスで光回線の代わりに使えますか? 4 2022/10/17 16:30
- サーバー ネットワークの構成に困っています 3 2023/07/05 11:55
- その他(インターネット接続・インフラ) テザリングで繋がる Wi-Fiで繋がらない Filezilla FTP 1 2023/05/25 10:31
- セキュリティホール・脆弱性 テレワークで会社支給パソコン以外でVPN接続を制限するやり方 教えて下さい 3 2022/08/31 12:40
- その他(コンピューター・テクノロジー) DHCPサーバーについて、、、。 職場のネットワーク環境で困っています。サーバーはWindows s 3 2023/01/04 10:15
- ネットワーク 自作のサーバーPCが自宅内のネットワークに接続できない 3 2023/01/24 16:58
- VPN VPNは設定した方がいいですか? VPNには常時接続するべき? 1 2023/05/25 17:43
- UNIX・Linux raspberry piを使ったWebサーバー制作をしています、接続するネットワークを変更したときに 1 2023/01/09 15:57
- サーバー Googleドライブなどを使わずにテザリングAndroidでWindowsとファイル共有 1 2023/02/19 13:14
- Gmail SPFレコードとDNSサーバーについて、gmailを設定できるかどうか 2 2023/06/10 23:55
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
squidのアクセスログについて
-
イベントログ 「シェルが停止し...
-
ssl_request_logの必要性について
-
セキュリティに関して
-
ssl_error_logについて
-
PCをリカバリしたら意味不明の...
-
ポートフォアワードで複数個定...
-
ログがローテイトされなくなった.
-
auth.logが出力されない。
-
suコマンドのログ
-
apacheのログファイルがいつの...
-
どのシステムがどういったsyslo...
-
リモートデスクトップ接続でパ...
-
同一のホスト名で何か問題があ...
-
パスワード設定していないユー...
-
エラーメールで"too many hops"...
-
postfixでユーザごとに最大容量...
-
Linuxでパスワード変更時に「it...
-
ワークグループ設定のPCの名前解決
-
mailでメールが2通ずつ
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
squidのアクセスログについて
-
expectを用いた正規表現[]のgre...
-
ssl_request_logの必要性について
-
IEのイベントログをイベントビ...
-
auth.logが出力されない。
-
イベントビューアからの特定のe...
-
" /var/log/messages "の中は何...
-
Aixのsyslogログローテーション...
-
/var/adm/messagesから当日分の...
-
vsftpを設定し試したら書き込み...
-
FTPのログを取得したい
-
イベントログ 「シェルが停止し...
-
コマンドプロンプトでのcopyコ...
-
/etc/cron.daily/logrotateがエ...
-
ログがローテイトされなくなった.
-
evalが使えない場合
-
/var/log/maillogへのログの書...
-
suコマンドのログ
-
apacheでjpgが表示されない。
-
syslogからログが出力されなく...
おすすめ情報