質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

SSH

SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Q&A

解決済

5回答

17817閲覧

SSHへの不正アクセス対処はログイン制限で十分なのでしょうか?

smnsmn

総合スコア175

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

SSH

SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

2グッド

5クリップ

投稿2016/10/06 16:13

lastbコマンドでログインに失敗した履歴を見てみると、rootだけで四万回くらいアクセスがありました。
サーバーへの負荷が心配なので対策をしたいと思っています。

アクセスの多かった怪しいIPはSSH接続出来ないように設定しようと思い、
参考サイト様:CentOS6、7でSSHのIP制限をする方法 をもとにhosts.denyに該当のIPを記述しました。

これだけで指定したIPからの攻撃によるサーバーへの負荷は下がるものなのでしょうか?

別の方は、参考サイト様:特定のIPからの通信を破棄 のように、iptablesにIPを記述して通信を破棄するという対策をされていました。

どちらもしておくべきなのか、片方でいいのか、影響範囲がわからないためご教授頂けますと幸いです。

どうぞよろしくお願い致します。

ikuwow, manzyun👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答5

0

ベストアンサー

hosts.denyはTCP Wrapperと言う古い仕組みでiptablesが無かった時代にTCP/IPをIPアドレスおよびサービス単位で制御する仕組みです。次の理由によりTCP Wrapperを使わずにiptablesのみで制御することをお勧めします。

  • TCP Wrapperとiptablesの両方を設定するとアクセス制限の設定箇所が分散されるため、接続が許可/拒否のどちらかなのか判断がすぐにできなくなる。
  • 設定ファイルがhosts.denyhosts.allowの二つに分かれるため、一覧で確認しづらい。
  • xinetd(古いLinuxではinetd)経由か、TCP Wrapperに対応したサービスソフトウェアしか対応できない。対応ソフトウェアであってもコンパイル時に無効にした場合や設定で無効にした場合は単に無視される。設定が有効かどうかは実際にアクセスしないとわからない。sshdもコンパイル時に無効にした場合等は、設定しても制限がかからない!
  • DROPではなくREJECTのため、サービスが存在することがわかる。
  • allowを「アロー」、denyを「デニー」とか読む奴がいて、口頭だと何のことなのか混乱する。

hosts.denyは設定することよりもiptablesを設定してください。役割は同じであり、正しく設定してあれば、二重に設定しても安全性が増すわけではありません。あえて二重に設定する利点があるとすれば、設定や操作ミスなどでiptablesを無効にしてしまったときも、TCP Wrapper側で防ぐことができる程度です。

sshdに関するその他のセキュリティ設定については下の記事が参考になります。一読の上、可能な限り設定することをお勧めします。

そこそこセキュアなlinuxサーバーを作る - Qiita#sshd関連

投稿2016/10/06 19:10

raccy

総合スコア21733

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ynakano

2016/10/06 23:34

> allowを「アロー」、denyを「デニー」とか読む奴がいて "奴"って…(笑) 「デニー」は初めて聞きました。そんな読み方する人いるんですね。 「アロー」はもうマヒしてますけど。
smnsmn

2016/10/20 15:33

皆様、ご回答ありがとうございました。m(__)m 大変、参考になりました。他の方の評価も高く、分かりやすかったためベストアンサーとさせて頂きました。 もし可能でしたら教えていただきたいのですが、 "iptablesで制限をする"というのは、私が質問に書いたように、「iptablesにIPを記述して通信を破棄するという対策」と言うものでしょうか。 もしくは、「22番ポートにアクセス出来ないようにする」ということでしょうか? 理解が及ばず、申し訳ありません。 後学のため教えて頂けると幸いです。
raccy

2016/10/20 20:39

「iptablesにIPを記述して通信を破棄するという対策」の意味です。
smnsmn

2016/10/24 02:58

返信頂き、ありがとうございます! 大変勉強になりました。
guest

0

sshのポート番号をデフォルトの22番にしているのでしょうか?
番号を変えるとほとんど来なくなると思いますよ。

投稿2016/10/06 16:40

編集2016/10/06 16:41
otn

総合スコア84423

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

sshのデフォルトのポート番号は22番なのでルータやファイヤーウォール
などのネットワーク機器でご指定のサーバへの22番ポートアクセス制限を
かけるなどネットワーク機器の設定で対応する方法もございます。

サーバ側で対応するとするならばiptablesによるアクセス制限をかけるか
otn様がおっしゃるようにsshのアクセスポートを22→プライベートポートに
変更してしまうという手もございます。

ご参考まで

投稿2016/10/06 22:04

Yatsurugi

総合スコア1628

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

Yatsurugi

2016/10/07 04:15

sshへの不正アクセス対処はログイン制限で十分かと聞かれれば十分な 場合もあり得るが、普通はネットワークでの制限でも併用した方が良い という感じだと思います。
guest

0

otnさんが書かれているように、/etc/ssh/sshd_config

port 22 <-- 大きな数字に変更

sshd の再起動で大半の不正アクセスはなくなります。

iptableで遮断する場合に、下記のURLを参考にしています。

※ 中国韓国からのサクセスを遮断する。
http://makizou.com/1997/

すり抜けた、しつこいアクセスは 下記で遮断します。

http://qiita.com/wmx/items/2ebedd5a16d27c07089b

投稿2016/10/15 12:10

nagaetty

総合スコア1106

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

私は以下のように対策してます。ご参考になれば幸いです。
宜しくお願いいたします。

▼ 不正アクセス防止
・iptablesでアクセス制限してログを記録。
・sshポート番号を規定22番から変更。
・公開鍵認証の設定。
▼ DDOS等各攻撃防止
・カーネルパラメータを設定。
▼ ウィルス対策
・無償のウィルス対策ソフトClamAV導入。

投稿2016/10/15 04:24

編集2016/10/15 04:30
pond

総合スコア350

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問