不正アクセスからサーバを守るfail2ban。さくらのクラウド、VPSで使ってみよう! | さくらのナレッジ
こんにちは。さくらインターネットの前佛です。 今回は、サーバのログファイルを自動スキャンして、悪意のある SSH 通信を自動遮断するツール fail2ban の概要と使い方をご紹介します。 日々、不正アクセス インターネット上のサーバは、SSH や HTTP など、公開しているポートに対する不正アクセスの試みに日々晒されています。不正アクセスは悪意を持った人からの攻撃だけではありません。マルウェアやワームなど、いわゆるボットからの攻撃にも日々晒されているのです。 そのため、誰でもアクセス可能なパブリックな環境にサーバを公開する場合、セキュリティに対して細心の注意を払う必要があります。 たとえば、近年話題になっている Linux 向けのマルウェアとしては XOR.DDoS が有名です。これは root ユーザのパスワードに対する総当たり攻撃(broute-force attach)を試みます
社内プロキシに虐げられてる人たちはVPSとか借りて社外にプロキシ立ててsshトンネルで繋ぐとウハウハですよってお話 - Qiita
概要 社内プロキシに様々なサイトへのアクセスをブロックされたり、社外サーバにsshできなかったりする人向けに社外プロキシを立ててあらゆるサイトにアクセスする方法のまとめです。(後述しますが半分くらいネタポストです。) 他にも以下のような効果がありますので、プロキシフリーな会社にお勤めもし良かったら参考にして頂ければと思います。 なぜか2015年になっても存在するカフェとかホテルとかでの保護されていなかったりする無線wifiを使っても盗聴されない。 日本からアクセスできないサイトにアクセスできる。(海外のデータセンタ上のVMを使った場合) なお、非認証プロキシを例にしてます。認証プロキシでもあまり変わらないとは思いますが、環境が無いため未確認です。また、プロキシの挙動や設定方法はプロキシサーバの種類や設定によって多岐に渡るため、全てのプロキシで同じ方法が使えるとは限らないとは思います。 最後
美雲このはオフィシャルサイト | 神様目指して修行中!みんな応援よろしくねっ!
美雲このはとは? 座敷童子一族の末裔として生まれ、栃木の由緒正しい某神社で暮らしていたんだけど、昔からのしきたりで一人前の座敷童子になるため東京で修行を開始! 紆余曲折あって、ConoHaの応援団長に就任することになりConoHaを使っているみんなを応援するとともに、このはも一人前の座敷童子ではなく、「神様」になるために日々頑張っているよ! プロフィール 名前:美雲 このは (みくも このは) 年齢:年齢という概念はないが、人間でいうと13歳くらい? 身長:150cm+α 体重:ひみつ 長所:勉強熱心・わりと機転がきく 短所:いじわると勘違いされる振る舞いをしがち 好きなこと:アニメを見たりゲームしながらのごろごろ
多段ssh設定のまとめ
B! 349 0 0 0 多段sshについて、ターミナルからsshを直接使う場合と WindowsでのPuTTYでの設定について、 久しぶりに設定をしなおしたのでそのまとめ。 ~/.ssh/configで多段接続 同じ踏み台サーバーを持つ物を一括指定 複数の踏み台サーバーを経由してログイン Windows+PuTTYで多段ssh plinkを使用する方法 ログインサーバーにログインしてさらにsshコマンドを実行する ショートカットの作成 Gitサーバーに対する多段接続 ~/.ssh/configで多段接続 ターミナルからsshを使うときには~/.ssh/configファイルが設定ファイルとして 使われます。 直接外部からログインできない様なサーバーに踏み台サーバーを通って ログインするときに、毎回踏み台サーバーにsshしてそこから また入りたいサーバーにログインして。。。は面倒なので そこ
SSHへのBrute force attackをiptablesで防ぐ - Qiita
アタック自体は防げませんが... 環境 CentOS release 6.4 (Final) iptables.i686 1.4.7-9.el6 ほかに、ipt_recentというモジュールが必要らしいんだが、インストールされているものなのか、どうも確認ができず。やってみたら動いたのでOKとするけど... 方針 同じホストから60秒以内に5回のSSH接続があったら、そのホストからのSSHアクセスを10分間受け付けない。 考え方 新規のSSH接続があったらそれを「接続してきたヤツ」リストに記録しておく。(アタックではないアクセスも記録する。) 新規のSSH接続があるたびにその「接続してきたヤツ」リストを確認して、直近60秒で5回以上(要するに、6回目)のアクセスだったらBrute force attackとして認定し、「悪いヤツ」リストに別途記録しておく。 新規のSSH接続があるたびに「悪い
iptables の ipt_recent で ssh の brute force attack 対策
必要な知識 このドキュメントでは、次のことは分かっているものとして話を進めます。 iptables の使いかた TCP におけるコネクション確立の手順(SYN の立ってるパケット、って何? というくらいが分かっていればよい) 用語 試行・ログイン試行・攻撃 どれも、ログインをしようとすること( ssh -l fobar example.com 等 を実行すること)を指します。 foobar@example.com's password: とか が表示される状態まで行けたら「試行が成功した」ということにします。こ のドキュメントで説明している対策では、それ以前の段階で弾かれるように なります( ssh -l fobar example.com を実行すると ssh: connect to host example.com port 22: Connection refused 等と表示される
Ruby/SSHで接続する - 俺の基地
net-sshのインストール 標準ではできない net-sshというモジュールが必要なのでrubygemsでインストールする 検索 gem search --remote ssh net-sshというのがみつかる インストールする gem install --remote net-ssh 依存関係があるのでイェス Install required dependency needle? [Yn] エラー出た場合は ↓2つのコマンドでアップデートすると解決できる gem update --system gem update いくつかどのバージョンを入れるか聞かれるけど、スキップ ▲ ▼ 接続してみる #sshのライブラリを使う用意 require 'rubygems' require 'net/ssh' #接続を開く、引数は ホスト、ポート番号(SSHは22番)、ユーザ名、パスワー
sshで他マシンのファイルシステムをマウントするには - @IT
別のコンピュータのファイルシステムをマウントすれば、ローカルディレクトリと同様に扱える。4月版 カーネル2.6.11.yのメンテナは嫌なヤツ?(FUSEが本流デビューするのはいつの日か?)で紹介したsshfs(http://fuse.sourceforge.net/sshfs.html)は、これをsshで実現するファイルシステムである。なお、sshfsはFUSEベースなので、FUSE(http://fuse.sourceforge.net/)というモジュールも必要だ。 注:マウント操作を行うコンピュータ(クライアント側)にsshfsをインストールする。マウントされるディレクトリを持ったコンピュータ(サーバ側)は、sshが稼働していれば特に設定の必要はない。
ssh (後編)
実践で学ぶ、一歩進んだサーバ構築・運用術 第 11 回 ssh (後編) ポート・フォワード 前回少しだけ紹介したように, ssh にはクライアント側あるいはサーバー側のポートを反対側へ転送する ポート・フォワード機能があります。 この機能を使えば任意のプロトコルを暗号化できるので重宝します。 ポート・フォワード機能で真価を発揮するのは, ProxyCommand *4 を設定してファイアウオールを越えて ssh 接続を行っているときです。 例えば出張に持参したノート PC と社内 LAN 上の PC との間で 任意のプロトコルを使って盗聴の心配なく通信できます。 ローカルからリモートへ ssh クライアントを実行したローカル・ホストのポートを ssh サーバーが動いている内部 LAN 上のリモート・ホストに転送すれば, ローカル・ホスト上で実行する任意のクライアントから 内部 LAN 上
ウノウラボ Unoh Labs: 快適なsshクライアント生活
はじめまして、HIROKIです。 大規模コンテンツの開発に携わっていると数多くのサーバにsshでログインすることになります。その手間を軽減するために $HOME/.ssh/config を設定してみます。 sshコマンドを簡略化 例えば dev01.labs.unoh.netというサーバにsshでログインするのであれば、 $ ssh -i ~/.ssh/id_rsa.unoh hiroki@dev01.labs.unoh.net という感じのコマンドでログインしているかと思います。 これを $ ssh dev01 でログインできるように設定してみましょう。 Host dev01 User hiroki HostName dev01.labs.unoh.net IdentityFile ~/.ssh/id_rsa.unoh 秘密鍵を複数使いわけている人はIdentityFileを指定すると便
Index of /repo/centos/5/i386
Name Last modified Size Description Parent Directory - repodata/ 25-Feb-2014 10:11 - ImageMagick-6.7.3.6-1.proserve.el5.i386.rpm 21-Nov-2011 14:16 5.3M ImageMagick-6.7.5.6-2.proserve.el5.i386.rpm 22-Feb-2012 09:20 5.3M ImageMagick-c++-6.7.3.6-1.proserve.el5.i386.rpm 21-Nov-2011 14:16 783K ImageMagick-c++-6.7.5.6-2.proserve.el5.i386.rpm 22-Feb-2012 09:20 787K ImageMagick-c++-devel-6.7.3.6-1.proserv
コンピュータ系blog: Cygwinを使ってSSHサーバを作成する
Cygwinを使ってSSHサーバを作成する方法です。 本来は「/etc/passwd」や「/etc/group」ファイルの中身を確認するようだけど、ここでは概要だけ。。。 クライアント側については触れていません。 クライアント側は ssh-host-config スクリプトを使って鍵を作成したりできるようだけど、既に自分の鍵は持っていたし。 なので、ここではサーバ側だけ。 ■ CygwinでOpenSSHをインストール CYGWIN環境変数には「ntsec nosmbntsec glob」を設定しました。 Cygwinで「cygrunsrv」と「openssh」をインストールします。 「cygrunsrv」は、Cygwin に移植された UNIX デーモンプログラムを NT/2000/XP 上のサービスとして動作させるための、サービススタータプログラムです。 ■ ssh-host-conf
Makino Takaki's Page - 文書館 - Technical Tips - ssh-agent で快適 ssh 生活 (.ja)
ssh は便利だ。ほかのコンピュータにアクセスする方法として、安全で手軽であるだけでなく、各種スクリプトの中に組み込んだり、他のプログラムから呼び出したりすることで高度な動作を簡単に実現できる。また、TCP のポートフォワーディングが設定できるため、たいていのプログラムを簡単にリモートアクセス対応にできる。 しかし、面倒なことがひとつだけある。パスワードの入力だ。毎回毎回パスワードを入力しなければならないのは本当に面倒だ。特に、ファイルコピーだとか CVS アクセスだとか、他のプログラムから利用する場合には、いやになるぐらい何度もパスワードを入力しなければいけない。 ssh はパスワード以外の認証方法をサポートしている。特に有名なのが公開鍵方式であるが、これも鍵を守るためのパスフレーズと呼ばれるキー入力が必要だ。これは通常のパスワードより短いパスフレーズでは意味がない、とされている(だから
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
怠惰な Linux: 管理者に必須の 10 の秘訣
Terminal Emulator Poderosa