ブログ用サーバにアタック受けたのでセキュリティ対策したお話

どーも。あいしんくいっと(@ithinkitnet)です。

久しぶりにSAKURAのVPSにSSHログインしたら、見に覚えのない失敗ログインの試行が7回も。
どうやら、不正アクセスを受けていた模様。

残されていたアクセス元IPを元に検索してみると、どうやら中国からのアタックみたい。。。

過去に何度も中国からハッキングを受けているだけに正直「またかよ!」って感じ。
とは言え、対処しない訳にはいかないので調査と対策を開始。

アクセスアカウント特定

まず、アクセスしようとしたアカウントは何だったのか確認。
/var/log/secureを除いてみる。

すると、存在しないユーザーでアクセスする気満々だった事が判明。
oracle、zabbix、nagios、等々の聞き覚えのある著名なアカウント達。

残念ながら、本サーバにそのようなアカウントは存在しませんでした、残念〜!
ってな感じなんですけど、さすがに気持ち悪い。

とりあえず、この事から分かるのは「メジャーなユーザーは極力使わない」って事ですね。不正にログインされる可能性が高まります。サービス的に必要なユーザーはnologinにしとくとか、chrootしとくとか、そるなりの対策が必要かと。

不正ログイン対策

とりあえずの対処として以下のログイン対策をすることに。

  • SSHにおけるパスワード認証の無効化
  • 本サーバの場合、SSHログインには公開鍵認証を使用しており、アクセス用のアカウントにはパスワードを設定せずに使用しています。
    そのため、パスワード認証を行う必要が無いので認証自体を無効化しました。

    /etc/ssh/sshd_config
    PasswordAuthentication no
  • TCPWRAPERでアクセスIP制限
  • アクセス元IPが分かったので、このIPからのSSHアクセスはhosts.denyで制限をかけました。

    豆知識として、hosts.denyのみに記載する事で「このIPからのみアクセスさせない」といった制限が可能です。
    そして制限がかかったIPアドレスからの接続に対しては以下の出力を表示して遮断します。

    ssh_exchange_identification: Connection closed by remote host

    一般的な「hosts.denyにALLで制限かけて、hosts.allowで必要なもののみアクセス許可して」ってしなくても手軽にアクセス制限出来るのでオススメです。

    サーバ乗っ取られると何されるか分からないので、個人のサーバと言えど最低限のセキュリティは必要だなぁ、と今回の件を受けて改めて考えさせられました。

    ithinkit
    サーバハッキングを許しちゃダメ!絶対!

    以上、あいしんくいっとでしたψ(`∇´)ψ

    こちらの記事もおすすめ!

    コメントを残す

    メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

    *

    日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

    ABOUTこの記事をかいた人

    あいしんくいっとの中の人。

    少しでも人の役に立つ記事書くことをモットーにブログ運営しています。
    しょうもない記事も多いけど、たまには役立つことが書けると良いかなー。
    気軽に楽しんでいってください。
    聞きたいことがあれば、気軽にツイートください♪可能な範囲でお答えします。
    follow us in feedly