PortSentryについて

Linuxを勉強中の初心者です。
さくらインターネットさんのVPSを利用して勉強しております。下記URLを参考に進めており、何とか一通りのインストールは終わったところでしたが、作業を進めていたところ接続に使用しているTeraTarmが動かなくなり再接続しようとしたところ繋がりませんでした。

原因がわからず色々と試していたところiptableを再起動すると繋がるようです。
その後も何度かこの現象が出ており、何が原因で発生するかは不明ですが、最後にPortSentryをインストールしておりこの関係ではないかと素人ながら予測しております。PortSentryの設定でSSH接続のポートは閉じないような設定が必要だったりするのでしょうか。
色々と調べたつもりですが進展が無いためご質問させて頂きました。

どなたかアドバイスを頂けないでしょうか。
よろしくお願い致します。


【参考サイト】
http://centos.server-manual.com/

【環境】
OS：CentOS 6.2 x86_64

【現象が出る前にインストールしたもの】
ポートスキャン遮断 PortSentry
ルートキット検出 chkrootkit
アンチウイルス Clam Antivirus

【現象】
上記をインストールした後から、時折ＳＳＨ接続が出来なくなる。
iptablesを再起動（service iptables restart）すると接続出来る。

No.1 ベストアンサー 回答者： Wr5 回答日時： 2012/09/12 17:14

>PortSentryの設定でSSH接続のポートは閉じないような設定が必要だったりするのでしょうか。

必要…でしょうね。

実際にPortSentry自体は試していませんが……。
現在でも開発続いているんでしょうかね？
掲示されたページだと……CentOS6にRedhat Linux 9用のsrpmから野良ビルドしてrpmパッケージ作っているようですが。
# ググると…1.2なんてのもあるようで。2.0βとかもあるみたいですがどうなんだろうか……。

で……元のsrpmではSSHの標準ポート(22番)は監視対象外として設定されているようです。
portsentry.confを下記に変更するパッチが入っている。
ADVANCED_EXCLUDE_TCP="21,22,25,53,80,110,113,137,138,139,443"

その上で……現在のVPSのSSHの待ち受けポート番号は標準のままになっているのでしょうか？
非標準ポートに変更していた場合、そのままssh接続していると「よく判らんポートに連続でパケットが届いている」という状態に見えますから、PortSentryは「ポートスキャンかも知れない」=>「iptablesでリモートホストからの接続をブロックして攻撃に対処」となりませんか？
portsentry.confのADVANCED_EXCLUDE_TCPからSSH標準ポート番号の22を削除し、変更した非標準ポート番号を加えてみたらどうでしょうか？

この回答へのお礼

Wr5さん

アドバイス有難うございます！
この勉強をはじめた6月頃にSSH接続の件で大変お世話になりました者です。おかげ様でもう少しで運用までたどり着けそうなんですが・・・
まだちょこちょこと躓いております(^_^;)

状況が分って参りましたのでご報告させて頂きます。

一通りインストールが完了した時点でメール送信も出来ておりませんでした。（メール受信はOK）ここはポートの問題かと思い色々と設定などを試していたところ、このＳＳＨ接続出来なくなる現象が発生しました。この事からWr5さんの仰るようにメール送信用に開放したポートにアクセスしたためではないかと思います・・・

この状態でアドバイスを頂きました方法を試しましたが、メーラーからメールを送信しようとすると（smtpの587ポート）接続タイムアウトとなり、その直後にTeraTarmが終了してしまいます。試しにメーラーのsmtpサーバを25ポートに設定して試したところ変わらずメールは送信出来ませんでしたが、TeraTarmは終了しませんでした。

いくつかの問題が複合しているようなので、まずメールが送信出来るよう設定を見直したいと思います。またメールが送信出来ないという事で新たに質問させて頂くかもしれませんが・・・(^_^;)

いつもご丁寧なアドバイスを頂き心より感謝しております。
本当にここではお礼を伝えきれない程です。有難うございました。
また機会があればご教授よろしくお願い致しますm(_ _)m

お礼日時：2012/09/12 18:50