タグ : ssh
何故か調子の悪くなった自宅のLinuxサーバ。
原因を調査してこつこつ直すのも良いんだけど、一度入れたけど消したり、開発ツールを入れてパッケージをコンパイルしたりと何かとワークファイルがたまってしまい汚らしい感じになってしまったのと、仮想HDDをシン プロビジョニングじゃなくしたり、スワップ領域を増やしたりと色々やりたかったので再構築。
主要な(設定が面倒な)アプリケーションのコンフィグファイルやデータをバックアップし、さくっと1時間ほどで復旧。
あまりにもアタックが多いから、特定ユーザしかログインできないようにしてみた。
sshを外部から許可しているせいか、かなりのアタックがあるので、とりあえずこちらで指定した任意のユーザのみsshで接続できるように設定。
グループやアクセス元も指定できるので使い勝手は良好かな。
設定方法は、/etc/pam.d/にあるsshdに下記を追加するだけ。
account required pam_access.so accessfile=/etc/security/sshd.conf
こんな感じで。
ファイル転送のためにsshのポートを空けてるんだけど、ハッキングを頑張ろうとしているらしく、結構長いログがべらべらとでる。
Failed logins from: 58.60.106.110: 3 times 61.129.60.23: 30 times 68.68.99.171 (68-68-99-171.rashost.com): 2 times 200.241.61.130: 1 time 219.93.187.38 (mail.myqnetcom.com): 701 times Illegal users from: 200.241.61.130: 3 times 219.93.187.38 (mail.myqnetcom.com): 1033 times Received disconnect: 11: Bye Bye : 1782 Time(s)
鬱陶しいことこの上ないのでswatchを利用して3回以上ログイン失敗したらロックするようにしてみた。
ができないようにしたいから調べてるのか、「root ssh 拒否」って感じのキーワードでうちのサイトにアクセスしてる人が結構いるみたいなので、やり方を・・・。
記事にするまでもないくらい簡単だから特に書いてなかったんだけど。。
# echo "PermitRootLogin no" >> /etc/ssh/sshd_config
sshd_configにPermitRootLogin noって追記するだけ・・・。
そしてsshdを再起動。
# service sshd restart
多分これだけでできるようになると思う。
こんなことするより、鍵認証方式に変える方がいいと思うんだが・・・。
って、記事をつくってから気がついたんだけど、昔に同じ内容を書いてた。
Fedora Core 6時代のだけど一応転記→「rootでのsshリモートログイン拒否。」
2006/12/25sshでの接続をdsa認証のみにするだけでもかなりセキュリティレベルが向上すると思うけど、rootになれるユーザを特定のユーザのみと制限することで更なるセキュリティ向上を試みる。
たとえば、Webサーバのセキュリティホールをついてハッキングされた場合など、侵入者はapache:apacheのユーザ権限を持っています。
その後、rootの権限を取得するわけですが、特定のユーザからしかrootになれないとなると、まず、rootになれるユーザを探さなければならなくなり、セキュリティレベルが向上するわけです。
Fedora Core 6のデフォルト状態ではrootでのリモートログインが許可されている。
rootユーザはUNIXであれば必ず存在するアカウントなので、とても危険だ。
(通常rootユーザでのリモートログインは拒否されることが多いので、ログイン試行しないロボットもあるようだ)
そこで、rootでのログインを拒否する設定を行う。
Bad Behavior has blocked 102 access attempts in the last 7 days.