人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

SSHによる不正ログインの抑止方法について教えてください。
Open SSH 3.6.1p2-34を利用しています。
SSHでのログインに失敗した場合
・再度ログインを試みることができる時間を設定する
・一定回数ログインに失敗した場合、そのホストからのログインを受け付けないようにする
などの、不正ログイン抑止策を探しています。
どうぞよろしくお願いいたします。

●質問者: forsterri
●カテゴリ:コンピュータ インターネット
✍キーワード:open SSH ホスト ログイン 不正
○ 状態 :終了
└ 回答数 : 5/5件

▽最新の回答へ

1 ● たも
●40ポイント

http://www.unixuser.org/~euske/doc/openssh/jman/sshd_config....

man sshd_config してみましょう。

あと同じ IP から幾つ接続を許可するかについては

http://trombik.mine.nu/~cherry/w/index.php/2005/11/23/435/pf...

みたいに、ファイアウォールでやるべきこととして

OpenSSH には実装されていないのではないかと思います。

PF なら man pf.confmax-src-conn などについて読むと良いです。

◎質問者からの返答

ご回答ありがとうございます。

ご指摘いただいたパラメーターは以前試してみたことがあるのですが、私の使用しているバージョン(?)のSSHDでは使用できないようです(設定するとSSHDが起動できなくなります)。

ファイアー・ウォールの設定についてはman pf.confgが導入されていないようで、確認できませんでした。

勉強不足で申し訳ありませんが、一日でも早く現在の状況をどうにかしたいと思っているところなので、もう少しご教授いただいたパラメーターについては勉強してから使用してみたいと思います。

ありがとうございました。


2 ● monyo
●40ポイント

pam_tally で希望する動作が実現できると思います。

http://oshiete1.goo.ne.jp/kotaeru.php3?q=1375803

◎質問者からの返答

すみません。もう少し具体的にどのように設定すればよいのかご教授願えませんでしょうか?

リンク先のページのさらにリンク先のページの2行を追加してみたところ、どのユーザーでのSSHログインも拒否されるようになってしまいました。

もしかするとこれでいけるのかなという感触があるだけに、噛み砕いて説明いただきたいなという気持ちを持っています。

勉強不足ですみません<(. .)>。

引き続きよろしくお願いいたします。


3 ● monyo
●20ポイント

>すみません。もう少し具体的にどのように設定すればよいのかご教授願えませんでしょうか?

それは、OSなどの情報がないと答えようがありません。

PAMの設定はOSに依存しますので。

ちなみに、1人3回までしか答えられないようですので、わたしは後1回しか答えられないですね。

◎質問者からの返答

なるほど。OS情報を書き忘れていましたね。

ご指摘ありがとうございます。


4 ● たも
●80ポイント ベストアンサー

調べてみたところ、3.6.1p2 には LoginGraceTime はありますが、

MaxAuthTries はないようでした。

3.6.1p2-34 ということですから Fedora Core 2 でしょうか。

すると iptables などで設定することになりますね。

iptables の ipt_recent で ssh の brute force attack 対策

が参考になりそうです。

ほかにも「ssh brute force iptables」などで検索してみると

などなど、よくまとまった資料が出てきます。

◎質問者からの返答

はい。OSはFedora Core 2 です。

なるほど、色々な方法がありますね。「SSH への総当たり攻撃と防衛」がよくまとまっていてよさそうですね。ipt_recent モジュールを使った方法がなじみやすそうなので、これを採用したいと思います。有用な情報をありがとうございました!


5 ● たも
●40ポイント

tally のほうについて:

「Fedora pam_tally」として調べてみたところ、いくつか情報が見付かりました。

FedoraNEWS.ORG にあるように root で touch /var/log/faillog してみると pam_tally が使えるかもしれません。

なお、このファイルのパーミッションはどうすればいいのか知らないのですが、とりあえず chmod 600 /var/log/faillog しておいたほうがいいかもしれません。

◎質問者からの返答

ありがとうございます!

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ