hns - 日記自動生成システム - Version 2.19.7

void GraphicWizardsLair( void ); //

otsune GWL
FreeBSD, AfterEffects, RETAS, animo, DigitalAnime, Linux, Mac OS, Win2k

[Who is otsune?] [title] [message] [Policy] [注目エントリー] [top]
Twitter Status :


Namazu for hns による簡易全文検索
詳しくは 詳細指定/ヘルプを参照して下さい

検索式:

先月 2004年10月 来月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31


2004年10月29日(金) [長年日記]

#7 [work][unix] sshdに無差別にアクセスしているIPを動的検知してファイアーウォールに登録する

sshdのログに
Failed password for root from 24.117.88.143 port 3443 ssh2
だの
Illegal user test from 65.37.37.15
Illegal user admin from 216.55.154.32
Illegal user mysql from 213.199.101.181
だののログがうざい。
どうやら片っ端からsshdに対してログインするスクリプトがあるようだ。
そこでお手軽にswatchを使って/var/log/auth.logを監視して、ipfilterで該当IPを自動的にblockするように設定する。
portinstall security/swatch
などでインストールする。
/usr/local/sbin/ipfilter.sh
#!/bin/sh
/bin/echo "block in on ng0 from `/bin/echo $2 | /usr/bin/cut -d' ' -f$1`/32 to a
ny" | /sbin/ipf -f -
/root/.swatchrc
watchfor   /Failed password for root from/
        mail=root,subject=Failed_password_for_root_from
        exec /usr/local/sbin/ipfilter.sh 12 $*
#
watchfor   /Illegal user/
        mail=root,subject=Illegal_user
        exec /usr/local/sbin/ipfilter.sh 11 $*
mailは動作確認が出来た後に、うるさければコメントアウトしてもいいかも。
外向けインターフェースはnet/mpdを使っているからng0だけど、pppを使っていたりする場合はtun0など適切に変える。
またipfilterではなくてipfwを使うときはipfilter.shを
#!/bin/sh
/sbin/ipfw add 1 deny all from `/bin/echo $2 | /usr/bin/cut -d' ' -f$1`:255.255.255.255 to any
などと変える。
そして/etc/newsyslog.confを1日1回ローテートするように設定。
/var/log/auth.log                       600  99    *    @T00    Z
swatchを起動する。rc.dで起動スクリプトを書いても良いが、rootでcrontab -eを実行して下記のように@rebootを指定してもよい。
@reboot /usr/local/bin/swatch --config-file=/root/.swatchauthrc --tail-file=/var
/log/auth.log -r 00:01  > /dev/null &
-rは再起動する時刻を指定。newsyslogでログがローテートする時間に合わせる。

7 perlcode文を使えばswatchrcだけで完結できる:

Permalink: http://www.otsune.com/diary/2004/10/29/7.html#200410297
trackback
このエントリーを含むはてなブックマーク del.icio.us livedoor Clip View blog reactions
Last Updated 2004-10-29 00:00:00 By otsune

この記事へのトラックバック[3]

Web屋のネタ帳:sshのアタック対策=ポート番号変えるのも手っ取り早い
たまには技術TIPSなど。 自宅サーバなりレンタルサーバなりに対してリモートで...
Web屋のネタ帳:sshのアタック対策=ポート番号変えるのも手っ取り早い
たまには技術TIPSなど。 自宅サーバなりレンタルサーバなりに対してリモートで...
メモのひとしかいない:ipfw を有効にする
auth.log がものすごい勢いで流れていくのでとりあえず ipfw を使う...