質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.34%

SSHへの不正アクセス対処はログイン制限で十分なのでしょうか?

解決済

回答 5

投稿

  • 評価
  • クリップ 4
  • VIEW 11K+

smnsmn

score 170

lastbコマンドでログインに失敗した履歴を見てみると、rootだけで四万回くらいアクセスがありました。
サーバーへの負荷が心配なので対策をしたいと思っています。

アクセスの多かった怪しいIPはSSH接続出来ないように設定しようと思い、
参考サイト様:CentOS6、7でSSHのIP制限をする方法 をもとにhosts.denyに該当のIPを記述しました。

これだけで指定したIPからの攻撃によるサーバーへの負荷は下がるものなのでしょうか?

別の方は、参考サイト様:特定のIPからの通信を破棄 のように、iptablesにIPを記述して通信を破棄するという対策をされていました。

どちらもしておくべきなのか、片方でいいのか、影響範囲がわからないためご教授頂けますと幸いです。

どうぞよろしくお願い致します。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 5

checkベストアンサー

+6

hosts.denyはTCP Wrapperと言う古い仕組みでiptablesが無かった時代にTCP/IPをIPアドレスおよびサービス単位で制御する仕組みです。次の理由によりTCP Wrapperを使わずにiptablesのみで制御することをお勧めします。

  • TCP Wrapperとiptablesの両方を設定するとアクセス制限の設定箇所が分散されるため、接続が許可/拒否のどちらかなのか判断がすぐにできなくなる。
  • 設定ファイルがhosts.denyhosts.allowの二つに分かれるため、一覧で確認しづらい。
  • xinetd(古いLinuxではinetd)経由か、TCP Wrapperに対応したサービスソフトウェアしか対応できない。対応ソフトウェアであってもコンパイル時に無効にした場合や設定で無効にした場合は単に無視される。設定が有効かどうかは実際にアクセスしないとわからない。sshdもコンパイル時に無効にした場合等は、設定しても制限がかからない!
  • DROPではなくREJECTのため、サービスが存在することがわかる。
  • allowを「アロー」、denyを「デニー」とか読む奴がいて、口頭だと何のことなのか混乱する。

hosts.denyは設定することよりもiptablesを設定してください。役割は同じであり、正しく設定してあれば、二重に設定しても安全性が増すわけではありません。あえて二重に設定する利点があるとすれば、設定や操作ミスなどでiptablesを無効にしてしまったときも、TCP Wrapper側で防ぐことができる程度です。

sshdに関するその他のセキュリティ設定については下の記事が参考になります。一読の上、可能な限り設定することをお勧めします。

そこそこセキュアなlinuxサーバーを作る - Qiita#sshd関連

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/10/07 08:34

    > allowを「アロー」、denyを「デニー」とか読む奴がいて

    "奴"って…(笑)
    「デニー」は初めて聞きました。そんな読み方する人いるんですね。
    「アロー」はもうマヒしてますけど。

    キャンセル

  • 2016/10/21 00:33

    皆様、ご回答ありがとうございました。m(__)m
    大変、参考になりました。他の方の評価も高く、分かりやすかったためベストアンサーとさせて頂きました。

    もし可能でしたら教えていただきたいのですが、
    "iptablesで制限をする"というのは、私が質問に書いたように、「iptablesにIPを記述して通信を破棄するという対策」と言うものでしょうか。
    もしくは、「22番ポートにアクセス出来ないようにする」ということでしょうか?

    理解が及ばず、申し訳ありません。
    後学のため教えて頂けると幸いです。

    キャンセル

  • 2016/10/21 05:39

    「iptablesにIPを記述して通信を破棄するという対策」の意味です。

    キャンセル

  • 2016/10/24 11:58

    返信頂き、ありがとうございます!
    大変勉強になりました。

    キャンセル

+3

sshのポート番号をデフォルトの22番にしているのでしょうか?
番号を変えるとほとんど来なくなると思いますよ。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+2

sshのデフォルトのポート番号は22番なのでルータやファイヤーウォール
などのネットワーク機器でご指定のサーバへの22番ポートアクセス制限を
かけるなどネットワーク機器の設定で対応する方法もございます。

サーバ側で対応するとするならばiptablesによるアクセス制限をかけるか
otn様がおっしゃるようにsshのアクセスポートを22→プライベートポートに
変更してしまうという手もございます。

ご参考まで

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/10/07 13:15

    sshへの不正アクセス対処はログイン制限で十分かと聞かれれば十分な
    場合もあり得るが、普通はネットワークでの制限でも併用した方が良い
    という感じだと思います。

    キャンセル

0

私は以下のように対策してます。ご参考になれば幸いです。
宜しくお願いいたします。

▼ 不正アクセス防止
・iptablesでアクセス制限してログを記録。
・sshポート番号を規定22番から変更。
・公開鍵認証の設定。
▼ DDOS等各攻撃防止
・カーネルパラメータを設定。
▼ ウィルス対策
・無償のウィルス対策ソフトClamAV導入。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

otnさんが書かれているように、/etc/ssh/sshd_config 

port 22 <-- 大きな数字に変更 

sshd の再起動で大半の不正アクセスはなくなります。

iptableで遮断する場合に、下記のURLを参考にしています。

※ 中国韓国からのサクセスを遮断する。
http://makizou.com/1997/

すり抜けた、しつこいアクセスは 下記で遮断します。

http://qiita.com/wmx/items/2ebedd5a16d27c07089b

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.34%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る