⚠️ 記事内に広告を含みます。

sshのログを見て攻撃を解析して対処する

SSHへの攻撃対処

SSHポートが攻撃される理由

SSHポートはサーバーを動かすのに必須なためポートが空いていることが多く、攻撃されやすいです。

通常パスワードや公開鍵認証が設定されているはずなので、実際にログインされることは無いと思いますが、安易なパスワードを利用していると突破される可能性もあります。

また、ログインはされなくても大量のアクセスでサーバに負荷がかかることもしばしばあります。

例えば借りているクラウドサーバーに対する攻撃で発生したトラフィック分の料金が請求されたという事例があります。

https://qiita.com/hnw/items/a4e395d047b382e7dc5f

ここではSSHへの攻撃の調査と解決方法を紹介します。

SSHのログ

SSHへの攻撃のログはlinuxでは通常/var/log/以下のディレクトリに保存されます。

  • /var/log/secure (CentOSなど)
  • /var/log/auth.log (ubuntuなど)

実際にこれまでSSHのポートに来た攻撃アクセスを国別に集計してみました。

攻撃元国コード

攻撃元国コード

攻撃防止策

sshに限らずあらゆる攻撃の対処方法の基本は「デフォルトを使用しない」です。攻撃者は設定がよくわからない人→デフォルト設定のまま運用している人→セキュリティ対策が甘そう

という感じで攻撃するのにも都合がよいからです。

ポートの変更

SSHのデフォルトポートは22から変更することで攻撃アクセスが減ります。

多数のSSH接続があるようなサーバーの場合は勝手にポートを変更すると接続できないトラブルが起こりますが、個人用途であれば変更は問題はないはずです。ウェルノーウンポート(0~1023)以外のポートであればなんでもよく、2022などが覚えやすくよく使われていそうです。11222などでもよいです。

rootの禁止(デフォルトのユーザー名を避ける)

デフォルトユーザー名として最も基本なものはrootです。rootは名前を変えることができないので、rootでのsshは拒否するという対処になります。他にも下記のような良くあるデフォルトのユーザー名も避けるべきです。

  • root ルートユーザー名
  • admin ( Administrator)
  • user (user1)
  • demo
  • pi ラズベリーパイ

他にもよくある人物名や機器名等も避けたほうがよいでしょう。

ちなみに実際に私がテスト用に公開しているサーバー攻撃で使われてユーザー名です

  1. 87331 root
  2. 14506 admin
  3. 11696 test
  4. 9884 user
  5. 5424 ubuntu
  6. 3804 postgres
  7. 3110 oracle
  8. 2804 ftpuser
  9. 2686 git
  10. 2158 teamspea
  11. 1672 minecraf
  12. 1654 student
  13. 1636 deploy
  14. 1564 testuser
  15. 1552 guest
  16. 1294 mysql
  17. 1208 server
  18. 1208 administ
  19. 1182 support
  20. 1174 user1

安易なパスワードは避ける→公開鍵認証に

passwordなどの安易なパスワードは認証が有っても突破されます。そのため複雑なパスワード認証にするかなるべく公開鍵認証にしたほうがよいです。

踏み台サーバーを用意する

踏み台とは自分のPCとSSHしたいサーバーの間に中継する形で設置するサーバーのことです。攻撃を防ぐというよりも管理しやすくするという目的のほうが大きいです。特に複数のサーバーがある場合は踏み台サーバーからしかSSHできないようにすることで管理しやすくなります。踏み台サーバーのIP以外は遮断というように設定が容易になります。

接続試行回数に応じてIPを落とす

攻撃は総当たり的な感じで同じIPから何度もアクセスがあるのが特徴です。そのため一定回数以上の接続試行が同じIPから合った場合に接続を遮断するという設定を行うことで攻撃を防ぎます。よくあるツールとしてはfail2banがあります。

海外IPを落とす

攻撃の多くは海外IPです。日本やアメリカなどの国以外のアクセスは全て遮断するように設定すると多くの攻撃を回避できるようになります。

国別にみればCN(中国)が半分を占めています。中国からのアクセスを落とすだけで攻撃件数はかなり減らせそうです。

攻撃元国コード

攻撃元国コード

ポートノッキング

ポートノッキングはあらかじめ決められたポートに順番に接続することで特定のポートを開くようにする方法です。ポートノッキングを利用すれば普段とじている22番ポートに対して、10015, 4001ポートを順番に接続すると22番ポートが開くというような設定をすることが可能です。単にポートを変更するよりも強力ですが、ポートノッキングを利用するためにknockdなどのアプリケーションを導入する必要があり、利用がやや煩雑という欠点があります。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です