iptables の recent オプション - May the Source be with you
自宅のサーバは sshd_config で "PasswordAuthentication no" の設定が行われているため、パスワード総当たりのような攻撃で侵入することはできなくなっています。ですが auth.log に大量に残される Invalid user hoge from xxx.xxx.xxx.xxx の洪水は見ていて気分のいいものじゃありません。すごい勢いでプロセス ID がカウントアップしてたりしますし。 連続してアクセスに失敗したら接続をブロックする、そんな設定がないかしらと man sshd_config していたりしたのですが、iptables を使ってブロックする方法があるということを知りました。ファイアウォールで止めてくれるなら願ったり叶ったり。しかしこんな便利なものがあるなんて知りませんでした。 iptablesに上のルールを追加することで過去60秒間に8回以上
ssh の brute force アタックパケットの制限 -- DOS 的パケットをフィルタリングする : DSAS開発者の部屋
KLab はコンテンツの開発と共に運用も日々担っていますが,その活動の全ての拠点は社内のシステムです.そのため,社のシステムにはいつでも外からアクセスできる必要があります.システムへのアクセスは ssh を使うのですが,この ssh へのアクセスは前記の理由で世界中からアクセスできる必要があります.こういった公開されている ssh のポートへは日々飽きもせずに brute force アタックが繰り返されています.sshd はこのような成功するはずのないアタックであっても律儀にログを出力してくれます.しかしながら,無意味なログの羅列は,重要なログが埋もれる結果になって嬉しくありません.それに,アタックによるログインの試行のために CPU 時間を無駄に費やすのもばかばかしいことです. ログの出力や CPU 時間の浪費を低減するには,これらの攻撃パケットをフィルタリングしてやればいいのですが,
バックナンバー:SSHの安全性を高める
SSHサービスによって安全にリモート管理が行える点は、UNIX系OS(Linuxを含む)の美点といってよいだろう。しかし、SSHサーバの設定が不適切だったり、安易なパスワードを設定しているユーザーがいたりすると、SSHを介してクラッカーに侵入されていまうおそれがある。そこで、ここではOTPの過去記事の中から、SSHサーバを安全に運用するために有用なものを厳選して紹介する。 SSHの基本:SSHのセキュリティを高めるためのハウツー 2007年04月03日 この記事では、SSH(secure shell)サービスのセキュリティを高めるのに役立つ簡単な方法をいくつか紹介する。SSHサーバの設定ファイルは/etc/ssh/sshd_configとなっている。このファイルを変更した後は、変更を反映させるためにその都度SSHサービスを起動し直す必要がある。 SSHの活動範囲を制限:SSHjailを用い
Exec-Shield
特定のメモリー領域から命令を実行できないようにするLinuxの機能。不正侵入を行う手段の1つである,バッファ・オーバーフロ-攻撃に対して有効な防御機能である。 バッファ・オーバーフロー攻撃では,ぜい弱性を持ったプログラムに対して,メモリー領域上のデータ領域に不正な命令コードを送り込み,それを実行することで侵入を試みる。Exec-Shieldは,Linuxカーネルがデータ領域を監視して,不正な命令コードが実行されようとすると,エラー・メッセージを画面に出力して,処理を止める。 Linuxは,Exec-Shieldのほかに,CPUが持つ「NXビット」を利用して同じような効果を得る機能も持つ。この機能では,Linuxカーネルの代わりに,NXビットを備えたCPUがメモリー領域を実行権限を監視する。このNXビットを利用した防御機能は,Windowsに備わっており,「DEP」と呼ばれる。Exec-Sh
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
