先日SSHブルートフォース攻撃にあいました(正確には攻撃を仕掛けた側になってしまった)。
対応方法は下記にしました。
/etc/hosts.deny にアクセスしてほしくないホストを自動追加する
⇒「denyhosts」を導入する
# yum install denyhost
リポジトリはrpmforgeより
[設定] デフォルト
SECURE_LOG = /var/log/secure
HOSTS_DENY = /etc/hosts.deny
PURGE_DENY = (解除しない)
BLOCK_SERVICE = sshd
DENY_THRESHOLD_INVALID = 5 (存在しないユーザでの認証5回まで)
DENY_THRESHOLD_VALID = 10 (存在ユーザでは10回まで)
DENY_THRESHOLD_ROOT = 1 (ルートユーザでの失敗1回まで)
DENY_THRESHOLD_RESTRICTED = 1 ( この回数より多くログインに失敗したホストをブロックする)
WORK_DIR = /usr/share/denyhosts/data
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES
LOCK_FILE = /var/lock/subsys/denyhosts
ADMIN_EMAIL = 送信先
SMTP_HOST = localhost
SMTP_PORT = 25
・・・
ひとまず様子を見てみます。
0 件のコメント:
コメントを投稿