ぐるっとぐりっど

日曜プログラマがいろいろ試してみたことを、後の自分のためにまとめておく場所

SSH以外の攻撃を遮断したい

sshについてのブルートフォースアタックはだいぶノウハウもあちこちに散らばっていて、今時パスワード認証なんてwwwwwって言われそうですが、それでもdenyhosts君ががんばってhosts.denyに今日も明日も怪しいホストをセコセコ放り込んでくれている訳です。

が、しかし

最近logwatchの結果を見るに、どうもメールサーバに対する攻撃が増えているっぽい

せっかくだからmunin用にログイン失敗数でも出力してやろうかしらん、と思う程度には来てる。

こっちもはじかないとまずいけど、denyhostsだと/var/log/secureしか見れないはずなので

  • denyhostsその2を立ち上げて、/var/log/maillogでも監視させる
  • メールのログも/var/log/secureに吐かせちゃう
  • denyhostsをやめて別のに乗り換える
  • 自分でシェルスクリプトでも書いちゃう
  • iptablesでブロックするようにしちゃう

あたりが考えられそう

どうするのが一番いいんだろうね

追記

denyhostsをやめてfail2banに乗り換えてみた。
これでちょっと様子見よう

さらに追記

git+sshでちょっとへんなことしてたらBANされたwwwwwwwwwwwww
ワロスwwwwwwwwワロス・・・・・・

広告を非表示にする