web-dev-qa-db-ja.com

Macサーバーを保護する方法(ログの「侵入の可能性」)

/var/log/secure.logでこれらを頻繁に取得しています:

Nov  5 10:50:49 www sshd[775]: reverse mapping checking getaddrinfo for 124.107.32.54.pldt.net [124.107.32.54] failed - POSSIBLE BREAK-IN ATTEMPT!
Nov  5 10:50:49 www sshd[775]: Invalid user weber from 124.107.32.54
Nov  5 10:51:18 www sshd[802]: Invalid user weblogic from 66.178.48.196
Nov  5 10:51:56 www sshd[826]: reverse mapping checking getaddrinfo for gw-baneasa-v422.comtelnetworks.eu [193.230.208.98] failed - POSSIBLE BREAK-IN ATTEMPT!
Nov  5 10:51:56 www sshd[826]: Invalid user webmail from 193.230.208.98
Nov  5 10:52:22 www sshd[860]: Invalid user webmail from 150.214.102.129
Nov  5 10:53:29 www sshd[905]: Invalid user webmaster from 195.205.203.6
Nov  5 10:53:57 www sshd[928]: Invalid user webmaster from 86.101.90.21
Nov  5 10:54:29 www sshd[943]: Invalid user webservd from 151.118.130.225

publickeyを除くすべての形式のSSH認証を無効にしたので、それらが方法を見つけることはないと思います。しかし、これについてもっと心配する必要がありますか?

  • これを防ぐ方法はありますか、それとも私のWebサイトが今人気になっていますか?
  • ログイン試行の失敗をブロックするようにサーバーにファイアウォールを設定できますか?攻撃は分散しているようです。それぞれの試みは異なるIPから来ています。
1
matpie

SSHポートを移動する代わりに、 Blockhosts のようなものを使用することもできます。これはpythonスクリプトで、ログファイル(通常は/var/log/auth.log)をスキャンしてこれらの種類のものを探し、動的エントリを/etc/hosts.allowに入れて実行中のユーザーをブロックします。ブルートフォーススキャン:SSHとvsftpdのインストールに効果を発揮するために使用し、5つの誤ったパスワードを続けてブラックリストに登録します。

3
Graeme

fail2ban の使用を検討することもできます。

2
tegbains

すでに指摘したように、これは自動スキャンにすぎないため、よく知られている(もちろん攻撃者にとって)種類のターゲットに対して辞書の添付を試みます。

ノイズの少ない削減手法として、サーバーのSSHDポートを変更できます。この目標は、 指示に従って非常に簡単な方法で達成できます。私はSF について他の質問をしました。

[〜#〜] note [〜#〜]:このアプローチには実際のセキュリティとは何の関係もありません(隠すことによるセキュリティはセキュリティではないことは誰もが知っているため)が、スクリプトキディを遠ざけるのに役立ちます。syslogはあなたに感謝します: )。

[〜#〜]編集[〜#〜]

  • ブラックリストアプローチの代替実装は、sshbl.orgなどのリアルタイムのパブリックSSHブルートフォースブラックリストを使用して実現できます。 。

  • ローカルBLアプローチの代替手段は、代わりに良いBFD(ブルートフォース検出)です。

2
drAlberT

認証方法を公開鍵に制限することは素晴らしいスタートです。ログスキャナーを使用する Denyhosts またはBlockhosts(Graemeが言ったように)は、同じアドレスからの繰り返しの試行から保護するのに役立ちます。 Denyhostsには、他の人が見たアドレスをブロックできるオプションの共有データベースがあります。

認証方法を制限することに加えて、私が見つけた最善の解決策は、SSHを別のポートに移動することです。スキャンはポート22に集中しているようです。そのポートから離れた後、各サーバーでの試行はゼロになりました。

1
Gerald Combs

知っておくと良いです、私はBlockhostsがSSHのより良い代替手段だと思います

ダニエラ、 バネアサ

0
Daniela

Sshをオンにしている場合、それはサーバーである可能性が高く、ハッカーの観点からハッキングする価値があるため、マシンを興味深いターゲットのように見せます。

隠すことでセキュリティを確保し、sshポートを移動できます。このヒントを使用して、マシン上でこれを行うことができます http://www.macosxhints.com/article.php?story=2005070714043998 10.5でも機能します。私は10.6でそれをしていませんが、それがそこでも機能しない理由はわかりません。

ファイアウォールでこれを実行して、別のポートに対する外部要求をこのマシンの22に転送するように変換することもできます。これは、隠すことによるセキュリティの別の方法です。

外部からsshを無効にし、VPNを使用して侵入することのみが可能です。セキュリティの観点から、これが最も強力な選択です。

いずれにしても、強力なパスワードを持っていることを確認してください。強力なパスワードを使用している場合、パスワードは入力されませんが、デフォルトのポートのままにしておくと、認証要求でマシンを圧倒するか、少なくともパフォーマンスが少し低下するため、サービス拒否攻撃が行われる可能性があります。

あなたは彼らがアルファベット順にあらゆる種類のログインを試みていることに気付くでしょう。セキュリティのもう1つの層は、非標準のログイン名を持つことです。たとえば、adminやrootを試してみるのは間違いありません。

また、古い、安全性の低いssh1プロトコルを無効にするのも好きです: http://www.macosxhints.com/article.php?story=200502102321525

0
ridogi

ポート22が世界に公開されています。組み込みのOSXファイアウォール機能を使用して、マシンにアクセスできるIPを絞り込むか、ネットワークの前に何らかのファイアウォールデバイス/サーバーを配置し、接続する前に(通常はVPN経由で)接続するように要求することができます。サーバーに。

私は個人的にSSHのポートを変更することを気にしません。隠すことによるセキュリティは神話です。ポートスキャナーは、非標準のポートで実行されているサービスの種類を簡単に見つけることができ、環境を非標準にすると、ベンダーに問題が発生したり、さらに厄介なことに、すべての新規採用者が確実に実行できるようにすることができます。ドキュメントにさらに多くのものを追加し、標準化されていることを確認します。

0
sclarson

心配しないでください。これは自動スキャンです。今回はコイントスに勝ちました。

0
Bill Weiss