質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.48%

  • CentOS

    3190questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

CentOS 7 不正アクセス対策

解決済

回答 5

投稿

  • 評価
  • クリップ 8
  • VIEW 3,264

nnahito

score 1801

サーバ管理初心者です。
昨日、勉強をはじめました。

大学の研究で、どうしてもサーバが必要になり、
専用のマシンを用意しCentOS7を入れて、サーバ(Apache?)の立ち上げまでを行い、CentOS自体のファイアウォールを「http」と「https」にチェックを入れて、一時帰宅しました。

そして今日、続きをしようと確認してみると、スーパユーザに「端末(ターミナル?)」から

$ su -

でログインすると、「30240件のパスワードの間違い」のような表示が出て、
「これは俗にいう、『ブルートフォースアタック』では!?」と、慌ててLANを引っこ抜いて現在に至ります。

さて、CentOSでこのようなことはよくあるのでしょうか…?
大学のサーバなので、よく狙われたりするという話を聞いていましたが、ここまでとは思いませんでした。

詳しい方がいらっしゃいましたら、対策などを教えていただけると幸いです。
なお、当方かなりの初心者なので、できるだけ分かりやすくご教授いただけると幸いです。

よろしくお願いいたします。
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 5

checkベストアンサー

+6

丁度良い記事があるので紹介します。

http://gihyo.jp/dev/serial/01/js-foundation/0003

私もサーバを管理していますが、初期設定で下記の事をしています。

・SSH接続できるサーバのポート番号の変更
・rootログインを不可
・接続できるIPのフィルタリング

他にも色々方法がありますが、この3点は最低限しておくべき事かと思います。
また、総当たりアタックに対してですが、私は余り経験した事がありませんが話は良く聞きます。
SSH接続ポート番号を変更したり、SSH接続IPの制限を行うだけでもかなり違うと思いますよ。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/07/06 14:49

    ご回答有難うございます.

    記事のリンクありがとうございます.
    早速設定の方を行ってみようとしたのですが,
    `#Port 22`
    となっている部分の「#」は外してしまってよろしいのでしょうか?
    一応,記事の通り(#を外して)`Port 47382`としてみました.

    同様に
    `PermitRootLogin no`
    `PasswordAuthentication no`
    も行いました.(「#」は全て外しています)

    この設定でtakayukiinaba様がおっしゃられている,
    ・SSH接続できるサーバのポート番号の変更
    ・rootログインを不可
    が実装できたことになるのでしょうか?

    よろしくお願いいたします.

    キャンセル

  • 2015/07/06 15:29

    Port 47382
    PermitRootLogin no
    だけても良いとお思います。

    また、
    /etc/hosts.allow
    sshd : 127.0.0.1 # Localhost ←接続するIP

    /etc/hosts.deny
    sshd : all

    の用にしておけばある程度接続制限が聞きますが如何でしょう。

    キャンセル

  • 2015/07/11 02:43

    ご回答有難うございます。
    そのように設定すると、攻撃が弾かれたのか、不正ログインの表示がなくなりました!

    キャンセル

+4

そのサーバはインターネットに公開していたのでしょうか?
公開していたのなら、サーバの作り直しが必要です。

SSH (TCP 22番)をインターネットから接続できるようにすれば、
1時間もすれば、辞書攻撃や総当たり攻撃を受けるのは、常識のレベルです。

それを知らずに公開していたとなると、
その他の攻撃方法などに対しても対策されていないと考えられますので、
すでに不正侵入されていると考えた方がよいと思います。

今話題の情報漏洩の可能性がありますので、
公立系の大学ならば、設定等を変更する前に
素直に学内の情報部の方に経緯を報告した方が、
面倒なことにならないと思います。


元凶であるSSHの対策ですが、
1.サーバをインターネットに公開するのをやめる
→情報部の方と相談してください。

2.下記サイトを参考にSSHを公開鍵認証方式に変更する。
http://centossrv.com/teraterm-public.shtml

3.firewalldを停止し、下記サイトを参考にiptablesを使って
防御する。
(firewalldでも同じようにできると思いますが、
設定方法をよく判らないので。。。)

iptables の ipt_recent で ssh の brute force attack 対策
http://www2s.biglobe.ne.jp/~nuts/labo/inti/ipt_recent.html


上記で多くの攻撃は防げると思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/07/07 13:57 編集

    ご回答有難うございます.

    >サーバの作り直しが必要
    どのようにして作りなおすのでしょう?
    再度CentOSを入れなおすのでしょうか?

    >3.firewalldを停止し、下記サイトを参考にiptablesを使って防御する。
    (firewalldでも同じようにできると思いますが、
    設定方法をよく判らないので。。。)
    サイトの方を眺めてみましたが,現段階の知識ではさっぱりわかりません……
    勉強が必要なのはわかりました.

    >すでに不正侵入されていると考えた方がよいと思います。
    最終ログインが,私の触っていた時間と一致していますが,これでもやはり既に侵入されているのでしょうか?

    キャンセル

  • 2015/07/07 15:11

    OSの再インストールから始めた方がよいと思います。
    侵入されていたかを調べることに時間をかけるよりも、
    ゼロから作り直した方が早いと思います。

    今の情報だけでは、
    必ず侵入されているという訳ではありませんが、
    それを念頭に対策をしていかないと、
    さらに被害が拡大する可能性があります。
     (他のPCやサーバの踏み台にされる)

    インターネットに公開していたのであれば、
    素直に学内の情報部に報告された方が、よいと思います。

    研究費がどの管轄から出ているか存じませんが、
    今話題の厚生労働省であれば、
    ニュースになりかねない事案ともなります。

    また、対策「2.」で紹介したサイトにはSSHだけでなく、
    CentOSの事が多く掲載されていますので
    他のページも読まれるのもよいと思います。

    http://centossrv.com/

    キャンセル

  • 2015/07/07 18:03

    横から失礼します。もし大学構内LANに接続していたケースであれば、サーバはLANから外したまま情報部に連絡することが適切かと思います。構内LANのFireWallでsshが塞がれているのであれば、内部からのアクセス(感染PCなど)の可能性も考えられます。

    キャンセル

  • 2015/07/07 23:52

    コメントありがとうございます。

    報告、というのはどのように言えばいいのでしょうか?
    「サーバが必要だからたてたら、不正アクセスの形跡があったので再インストールしました。」
    でいいのでしょうか?

    キャンセル

  • 2015/07/08 07:06

    norinoriさんの回答を汚すといけないので、別途回答を立てました。そちらをご覧ください。

    キャンセル

  • 2015/07/08 10:35

    BlueMoonさんの回答にもあるように、
    ありのまま報告するのが、よいと思います。

    情報部の方か、委託先の業者が、ちゃんと調べてくれます。

    サーバを作り直す際に、皆さんがかかれているように
    SSHDの設定を変更してセキュリティをあげたり、
    firewalldや、TCP Wrapperを使って
    接続してくるPCを限定したりするのがよいかと思います。

    キャンセル

+2

ご利用されている環境、設定のすべてが上記文章から分かるわけではないので回答が難しいですが、「CentOSでこのようなことは」という質問に対しては、CentOSに限らず良くあると思ってくださったほうが良いと思います。
文章から読み取るとhttp,httpsだけではないセキュリティホールを突かれているはず。WEBサーバを公開したいだけならhttp,httpsのみを許すファイアウォール設定は必須です。できればサーバ自身でのファイアウォールではなくその手前でルータなり専用のファイアウォールなりで対策がとれることが理想と思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/07/07 02:58

    ご回答有難うございます。

    できれば、「具体的な解決方法」をご教授いただけると幸いです

    キャンセル

+1

グローバルIPを持ったサーバを公開したときに様々な攻撃を受けるのは普通です。

接続する外部IPが限られているのであればiptablesでポート毎に接続元IPを制限すると大分スッキリします。

IPが固定されていない自宅やモバイルルータなどから接続する可能性がある場合はjpnicから日本に割り当てられている全IPを取得可能なので簡単なスクリプトを書いてiptablesの書式に整形し、sshは国内限定にしても良いと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/07/08 15:12

    ありがとうございます.

    申し訳ないのですが,
    >サーバ管理初心者です。
    >昨日、勉強をはじめました。
    >なお、当方かなりの初心者なので、できるだけ分かりやすくご教授いただけると幸いです。
    と書かせていただいたとおりです.
    もう少し詳しくやり方や,正確な情報が掲載されているサイトなどをご提示いただけないでしょうか.
    この辺り,調べても何をどうすればいいかなどが省略されている部分が多いので…

    キャンセル

+1

もし大学構内LANに接続していたケースであれば、サーバはLANから外したまま情報部に連絡することが適切かと思います。構内LANのFireWallでsshが塞がれているのであれば、内部からのアクセス(感染PCなど)の可能性も考えられます。

報告内容は事実のままで問題有りません。なるべく早い方が良いです。
サーバ再構築したのであれば、その旨も報告してください。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/07/08 15:39 編集

    ご回答有難うございます.

    事務に報告してきた結果,
    「まあ…研究室で建てたサーバなので,こちらには,ね?責任は無いわけですし…」
    だ,そうです.
    正直,想定外の返答でイラッとしました.なんのための事務だと.(愚痴)

    とりあえず,サーバの再インストールを行います.

    キャンセル

  • 2015/07/08 19:50

    コメント拝見しました。全くの無駄足になってしまったようですね。
    私の現状認識不足のようです。貴重な時間を失わせてしまい、申し訳有りませんでした。
    しかし、セキュリティインシデントがこんなに報道されている昨今なのに....
    愚痴になるのでやめます。

    キャンセル

  • 2015/07/09 00:22

    コメントありがとうございます。
    いえいえ、BlueMoon様のせいではありません。
    しかし、もう少し「様子を見てください」だとか「確認してみます」だとか、そういった対応をしてくれるのかなと思っていたので、さすがにびっくりしました……
    唖然とは、こういう時の言葉ですね……

    まあとりあえず、「私はこれで、無実を証明してますよね?万が一踏み台にされても、『被害者』であると証明してくださいね!」と、署名を残してきましたので……
    欠点だけではないはずです(笑)

    キャンセル

  • 2015/07/09 07:30

    エビデンスの取り方、良いですね。有事には役立つと思います。
    そうですね、前向きにとらえて行きましょう。

    キャンセル

同じタグがついた質問を見る

  • CentOS

    3190questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。