最近、不正アクセスの遮断を調整しているが、VPSサーバーよりも家のサーバーの方がやたら多いのに気がついた。
|
1 2 3 4 5 6 7 8 9 10 |
noizumi@irc:~$ sudo fail2ban-client status sshd Status for the jail: sshd |- Filter | |- Currently failed: 102 | |- Total failed: 930 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 635 |- Total banned: 667 `- Banned IP list: 101.47.141.214 103.143.231.99 103.149.27.208 <以下略> |
|
1 2 3 4 5 6 7 8 9 10 |
noizumi@silverfox:~ $ sudo fail2ban-client status sshd Status for the jail: sshd |- Filter | |- Currently failed: 472 | |- Total failed: 2168 | `- Journal matches: _SYSTEMD_UNIT=ssh.service + _COMM=sshd `- Actions |- Currently banned: 1503 |- Total banned: 1506 `- Banned IP list: 1.1.179.83 1.194.225.25 1.212.225.99 1.235.192.130 1.235.192.131 <以下略> |
VPSサーバーが 635件、家が 1,503件と倍以上の不正アクセスがある。
やはり、外に立てたサーバーより、家庭につないだ回線に存在するサーバーの方がセキュリティが甘いから、多いのかな?
適当なIPアドレスの範囲に対して、不正アクセスを試みていると思っていたが、ちゃんと確率の高そうな所へ資源の投入をしてるんだなあ。
まあ、家もVPSもsshdは公開鍵認証で、プライベートIPアドレスのみパスワード認証も許可している設定なので、そもそも総当たりのパスワード破りが最初からできないようにしてあるから、特に心配は無い。
しかし、ログにだらだらと記録されるのがウザいので、臭いにおいは元から断たなきゃダメという事で、接続遮断している 🙂
外も家も同条件のフィルタだが、3日間で4回以上の不正アクセスで1週間接続遮断し、それ以降も2週間以内に同じIPアドレスが不正アクセスして来たら、再犯ルールで1年間接続遮断するようにしている。
不正アクセスのパターンを見ていると、2~3回で止め、時間を置いて再び繰り返すという明らかに fail2ban の設定を意識した不正アクセスをして来ているので、判定期間を長めに取って、再犯ルールも追加したという次第。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
[sshd] # "bantime" is the number of seconds that a host is banned. bantime = 1w # A host is banned if it has generated "maxretry" during the last "findtime" # seconds. findtime = 3d # "maxretry" is the number of failures before a host get banned. maxretry = 4 mode = aggressive [recidive] enabled = true bantime = 31536000 ; 1 year findtime = 1209600 ; 2 weeks maxretry = 2 |
ルーターは接続を通すポートのみポート変換機能で一々登録して通しているが、面倒くさがりだと、DMZとしてサーバー1台丸々外から見える状態にしてるってのもあるだろう。
踏み台にされて警察にお呼ばれする前に、厳密な設定の運用にした方がいい象。