SSHによる不正ログインの抑止方法について教えてください。

Open SSH 3.6.1p2-34を利用しています。
SSHでのログインに失敗した場合
・再度ログインを試みることができる時間を設定する
・一定回数ログインに失敗した場合、そのホストからのログインを受け付けないようにする
などの、不正ログイン抑止策を探しています。
どうぞよろしくお願いいたします。

回答の条件
  • 1人3回まで
  • 登録:2006/04/02 12:21:37
  • 終了:2006/04/03 23:19:49

ベストアンサー

id:ttamo No.4

たも回答回数175ベストアンサー獲得回数292006/04/03 17:26:09

ポイント80pt

調べてみたところ、3.6.1p2 には LoginGraceTime はありますが、

MaxAuthTries はないようでした。

3.6.1p2-34 ということですから Fedora Core 2 でしょうか。

すると iptables などで設定することになりますね。

iptables の ipt_recent で ssh の brute force attack 対策

が参考になりそうです。

ほかにも「ssh brute force iptables」などで検索してみると

などなど、よくまとまった資料が出てきます。

id:forsterri

はい。OSはFedora Core 2 です。

なるほど、色々な方法がありますね。「SSH への総当たり攻撃と防衛」がよくまとまっていてよさそうですね。ipt_recent モジュールを使った方法がなじみやすそうなので、これを採用したいと思います。有用な情報をありがとうございました!

2006/04/03 23:17:46

その他の回答(4件)

id:ttamo No.1

たも回答回数175ベストアンサー獲得回数292006/04/02 16:10:24

ポイント40pt

http://www.unixuser.org/~euske/doc/openssh/jman/sshd_config....

man sshd_config してみましょう。

  • LoginGraceTime は、接続後にログインが成功するまで待つ秒数。
  • MaxAuthTries は、一回の接続で何回ログイン試行を許すか。

あと同じ IP から幾つ接続を許可するかについては

http://trombik.mine.nu/~cherry/w/index.php/2005/11/23/435/pf...

みたいに、ファイアウォールでやるべきこととして

OpenSSH には実装されていないのではないかと思います。

PF なら man pf.confmax-src-conn などについて読むと良いです。

id:forsterri

ご回答ありがとうございます。

ご指摘いただいたパラメーターは以前試してみたことがあるのですが、私の使用しているバージョン(?)のSSHDでは使用できないようです(設定するとSSHDが起動できなくなります)。

ファイアー・ウォールの設定についてはman pf.confgが導入されていないようで、確認できませんでした。

勉強不足で申し訳ありませんが、一日でも早く現在の状況をどうにかしたいと思っているところなので、もう少しご教授いただいたパラメーターについては勉強してから使用してみたいと思います。

ありがとうございました。

2006/04/03 00:28:54
id:monyot No.2

monyo回答回数146ベストアンサー獲得回数182006/04/02 16:13:41

ポイント40pt

pam_tally で希望する動作が実現できると思います。

http://oshiete1.goo.ne.jp/kotaeru.php3?q=1375803

id:forsterri

すみません。もう少し具体的にどのように設定すればよいのかご教授願えませんでしょうか?

リンク先のページのさらにリンク先のページの2行を追加してみたところ、どのユーザーでのSSHログインも拒否されるようになってしまいました。

もしかするとこれでいけるのかなという感触があるだけに、噛み砕いて説明いただきたいなという気持ちを持っています。

勉強不足ですみません<(. .)>。

引き続きよろしくお願いいたします。

2006/04/03 00:49:15
id:monyot No.3

monyo回答回数146ベストアンサー獲得回数182006/04/03 00:56:49

ポイント20pt

>すみません。もう少し具体的にどのように設定すればよいのかご教授願えませんでしょうか?

それは、OSなどの情報がないと答えようがありません。

PAMの設定はOSに依存しますので。

ちなみに、1人3回までしか答えられないようですので、わたしは後1回しか答えられないですね。

id:forsterri

なるほど。OS情報を書き忘れていましたね。

ご指摘ありがとうございます。

2006/04/03 23:08:03
id:ttamo No.4

たも回答回数175ベストアンサー獲得回数292006/04/03 17:26:09ここでベストアンサー

ポイント80pt

調べてみたところ、3.6.1p2 には LoginGraceTime はありますが、

MaxAuthTries はないようでした。

3.6.1p2-34 ということですから Fedora Core 2 でしょうか。

すると iptables などで設定することになりますね。

iptables の ipt_recent で ssh の brute force attack 対策

が参考になりそうです。

ほかにも「ssh brute force iptables」などで検索してみると

などなど、よくまとまった資料が出てきます。

id:forsterri

はい。OSはFedora Core 2 です。

なるほど、色々な方法がありますね。「SSH への総当たり攻撃と防衛」がよくまとまっていてよさそうですね。ipt_recent モジュールを使った方法がなじみやすそうなので、これを採用したいと思います。有用な情報をありがとうございました!

2006/04/03 23:17:46
id:ttamo No.5

たも回答回数175ベストアンサー獲得回数292006/04/03 18:09:44

ポイント40pt

tally のほうについて:

「Fedora pam_tally」として調べてみたところ、いくつか情報が見付かりました。

FedoraNEWS.ORG にあるように root で touch /var/log/faillog してみると pam_tally が使えるかもしれません。

なお、このファイルのパーミッションはどうすればいいのか知らないのですが、とりあえず chmod 600 /var/log/faillog しておいたほうがいいかもしれません。

id:forsterri

ありがとうございます!

2006/04/03 23:18:16

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません