tsucchi's blog

アクセスカウンタ

zoom RSS ssh の bruteforce attack について

<<   作成日時 : 2006/07/16 00:44   >>

ブログ気持玉 0 / トラックバック 0 / コメント 2

久しぶりに、ほとんどの人にとって、「何のことだかさっぱり...」な記事。

自宅サーバへの、bruteforce attack が多いので、security/bruteforceblocker を導入しました。

ports 入れて、/etc/rc.conf に
pf_enable="YES"
pflog_enable="YES"
syslogd_flags="-sc"
を設定。

/etc/pf.conf に
ext_if="fxp0"
table <bruteforce> persist file "/var/db/ssh-bruteforce"
set loginterface $ext_if
scrub in all
block in log quick proto tcp from <bruteforce> to any port ssh
を設定。

/etc/syslog.conf に
auth.info;authpriv.info | exec /usr/local/sbin/bruteforc
eblocker
を設定。(auth.info; authpriv.info のファシリティはデフォルトで authlog に書き込むので、これを変更する)

/var/db/ssh-bruteforce を touch し、/etc/rc.d の pf と pflog と syslogd を再起動。

これだけ。めっちゃ簡単。
で、効果の程は、というと...。

導入 4 日目(くらい?)で、/var/db/ssh-bruteforce が 3981 行。
(つまり侵入しようとしたクライアントが 3981 台)
世の中、悪者って沢山いるんですねぇ。

5000 行超えたら、傾向と対策を考えてみます。

つーか、母校 N 研のサーバとか、学科サーバとか、設定したほうがいいと思いますよ。

(2006/07/17設定不足を発見のため追記)

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(2件)

内 容 ニックネーム/日時
こういう話題に首を突っ込んでしまう。うちは swatch で引っかけて、iptables の reject chain "ping-pong-dash" にフックさせてます。
nakajima
2006/07/16 23:29
なるほど。
OS が違うから、使うツールが微妙に違うけど、やってることはほぼ一緒ですね。
tsucchi
2006/07/17 00:22

コメントする help

ニックネーム
本 文
ssh の bruteforce attack について tsucchi's blog/BIGLOBEウェブリブログ
文字サイズ:       閉じる