ご無沙汰です。拒否します。(意味不明)
まだ閉鎖してません。
特に理由もなく、しばらく書きませんでしたが
いかがお過ごしでしたか?
日曜日の関屋記念。
予想しとけばよかったですねぇ。
あたってましたよ。実際には買ってないけど。
さて。今日のネタ。
サーバネタです。
以前も書きましたが、sshで
不正にログインしてこようとしている輩が後を絶ちません。
なので、先日対策をうってみました。
そのメモ。
詳細はよくわかっていないので、下記リンクをご参照ください。
swatchっちゅーのとipfwっちゅーので
ログインしてきたIPを以降拒否するってやり方です。
swatchはFreeBSDのportsからインストール。
security/swatch にありました。
ipfwはデフォルトで入っているみたい。
/etc/rc.confに追加。
-------------------
swatch_enable="YES"
swatch_rules="1"
swatch_1_flags="--tail-file=/var/log/auth.log --awk-field-syntax --config-file=/usr/local/etc/swatchrc -r 00:01 --daemon"
swatch_1_user="root"
swatch_1_pidfile="/var/run/swatch1.pid"
firewall_enable="YES"
firewall_quiet="YES"
firewall_logging="YES"
firewall_script="/etc/rc.firewall"
firewall_type="OPEN"
-------------------
/usr/local/etc/swatchrcは以下のとおり。
-------------------
watchfor /Failed password for root from/
exec /sbin/ipfw add 1 deny 20 from $11:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 21 from $11:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 22 from $11:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 25 from $11:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 110 from $11:255.255.255.255 to any
mail=root,subject=Failed_password_for_root_from
#
watchfor /Illegal user/
exec /sbin/ipfw add 1 deny 20 from $10:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 21 from $10:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 22 from $10:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 25 from $10:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 110 from $10:255.255.255.255 to any
mail=root,subject=Illegal_user
-------------------
とりあえず全拒否にするのはなんなんで、
ftp(20,21),ssh(22),smtp(25),pop3(110)を拒否。
それ以外はhttpとhttps以外ポートがあいていないので。
全拒否にする場合は
exec /sbin/ipfw add 1 deny all from ・・・
を各1行ずつ。
rootでログインしようとしたら(そもそも出来ないし)
もしくは、存在しないユーザでログインしようとしたら、
拒否リストに追加されて、メールで通知が来ます。
メールがいらなければmail・・・の行を削除。
拒否リストは
ipfw show
で表示できるみたいです。
たまには競馬ネタも書かないとなぁ。
swatchとipfwでsshの不正アクセスを自動拒否する方法特に理由もなく、しばらく書きませんでしたが
いかがお過ごしでしたか?
日曜日の関屋記念。
予想しとけばよかったですねぇ。
あたってましたよ。実際には買ってないけど。
さて。今日のネタ。
サーバネタです。
以前も書きましたが、sshで
不正にログインしてこようとしている輩が後を絶ちません。
なので、先日対策をうってみました。
そのメモ。
詳細はよくわかっていないので、下記リンクをご参照ください。
swatchっちゅーのとipfwっちゅーので
ログインしてきたIPを以降拒否するってやり方です。
swatchはFreeBSDのportsからインストール。
security/swatch にありました。
ipfwはデフォルトで入っているみたい。
/etc/rc.confに追加。
-------------------
swatch_enable="YES"
swatch_rules="1"
swatch_1_flags="--tail-file=/var/log/auth.log --awk-field-syntax --config-file=/usr/local/etc/swatchrc -r 00:01 --daemon"
swatch_1_user="root"
swatch_1_pidfile="/var/run/swatch1.pid"
firewall_enable="YES"
firewall_quiet="YES"
firewall_logging="YES"
firewall_script="/etc/rc.firewall"
firewall_type="OPEN"
-------------------
/usr/local/etc/swatchrcは以下のとおり。
-------------------
watchfor /Failed password for root from/
exec /sbin/ipfw add 1 deny 20 from $11:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 21 from $11:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 22 from $11:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 25 from $11:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 110 from $11:255.255.255.255 to any
mail=root,subject=Failed_password_for_root_from
#
watchfor /Illegal user/
exec /sbin/ipfw add 1 deny 20 from $10:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 21 from $10:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 22 from $10:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 25 from $10:255.255.255.255 to any
exec /sbin/ipfw add 1 deny 110 from $10:255.255.255.255 to any
mail=root,subject=Illegal_user
-------------------
とりあえず全拒否にするのはなんなんで、
ftp(20,21),ssh(22),smtp(25),pop3(110)を拒否。
それ以外はhttpとhttps以外ポートがあいていないので。
全拒否にする場合は
exec /sbin/ipfw add 1 deny all from ・・・
を各1行ずつ。
rootでログインしようとしたら(そもそも出来ないし)
もしくは、存在しないユーザでログインしようとしたら、
拒否リストに追加されて、メールで通知が来ます。
メールがいらなければmail・・・の行を削除。
拒否リストは
ipfw show
で表示できるみたいです。
たまには競馬ネタも書かないとなぁ。
このネタへのコメント:
コメントはありません。