SwatchでSSH不正アクセスを遮断
11月 22, 2009 — 9:58

FTPのアタックも酷いものですがSSHのアタックはそれを超えますので今回対策しました。
まず、Swatchをインストールしていない人はVineLinuxで自宅サーバー様を参考にSwatchを全部設定します。

そしてSSH用に設定ファイルを作っていきます。

# vi /etc/swatch/secure.conf
#監視ログの場所を指定
# logfile /var/log/secure
#監視したい文字列を記載
watchfor /sshd.*Invalid user/
#ログのIPアドレスの場所を指定し、アクセス遮断スクリプトへ渡す
    pipe "/usr/bin/swatch.sh 10"

Swatchの再起動
# service swatch restart

(追記)
SWATCH設定を参考にしたほうがよさそうです。

Comments:
  • はじめまして、中学2年のKOBA789といいます。
    どこもDOS攻撃の対策は大変なんですね…
    私はヘタレなんでSlowlorisの影響を受けないWinodow(Vista)+AN HTTPDで今はなんとかしてます。たまに自爆したりしてかなり不安定ですが。
    私はこの前、メールサーバーにブルートフォースアタックを食らいました。自分しか使ってなかったんでルーターの設定で遮断しましたが。
    そして、攻撃もとのIPにアクセスしたらフィッシング詐欺のサイトでした(笑)
    攻撃サーバーとWebサーバーのIPアドレスが一緒なところが素人っぽかったです。

    11月 22, 2009 — 18:17
  • orbit

    こんにちは~^^
    Slowlorisはチョッとばかり厄介ですね^^;
    でも基本的にアタックを仕掛けてくる国は遮断してますし
    鯖自体攻撃してもダウンまで行きませんでしたから多分そこまで被害は大きくならないかと^^

    Windows鯖ですか~安定とかそんな問題じゃなくてライセンス違反が気になりますね(汗
    確か外部公開までは許可されてなかったような・・・・・
    まぁ、みんな2000やXPでやっちゃってますけど^^;

    同時接続数制限を守れば問題ないみたいですね^^

    11月 22, 2009 — 20:02
  • >>2
    ネット回線が1Mbpsという今時びっくりなスローリーな環境で動かしてるので、10コネクション制限は気になりません。
    携帯向けサイトで文字しか扱わないのでトラフィックはとっても少ないです。
    年明けにお年玉でサーバーを買ってLinuxを動かすつもりですが。

    11月 22, 2009 — 21:24
  • orbit

    実を言いますとこのサーバもわざと帯域制限実をかけてたり
    (ネットワークのリミターみたいなw)

    おお^^
    Linuxサーバですか~
    がんばってください^^
    サイトの方でLinux鯖に関して論文モドキを書いてますので
    興味がありましたらごらんください^^

    11月 22, 2009 — 22:43
  • コメントを残す

    メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

    (Spamcheck Enabled)

    日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)