SSHへの不正アクセス対策をしよう！

ここでは、SSHへの不正アクセスを拒否する手順を掲載しています。

※CentOS 5のサポートは2017年3月をもって終了していますが、旧コンテンツとしてこちらのページは残しておきます。

サーバをインターネット上に公開すると、不正アクセスを試みようとするアクセスの多さにビックリします。

ブルートフォース(ユーザ名、パスワードなどを総当りで試し、解読しようとする暗号解読方法の１つ)対策として有効な手段のひとつは、サーバにアクセスさせないことです。

接続元が固定の場合

接続元のIPアドレスが固定の場合は簡単で、サーバへのアクセスを許可する場合はhosts.allowに、拒否する場合はhosts.denyを編集します。

hosts.allow、hosts.denyの設定

SSHへの接続を許可するホストのIPアドレスが分かっている場合、そのIPアドレスやホスト名をhosts.allowに追加しておきます。

また、それ以外のホストを全て拒否するようhosts.denyに記述しておきます。

この例では、サーバ自身とLAN内からのみ接続を許可しています。

もし外部から接続をしたい場合も同様に、hosts.allowにIPアドレスやホスト名を追加すれば可能です。

接続元が非固定の場合

もし接続元のIPアドレスやホスト名がコロコロ変わってしまい、１つに定まらない場合(外出先からやスマートフォンなどからのアクセスの場合)は別の方法で行います。

今回はDenyHostsを使った対策をご紹介します。

DenyHosts

接続元IPアドレスが変動する場合、hosts.denyの設定が出来ないので、このままだと攻撃され放題になってしまいます。

そこで、DenyHostsというソフトウェアを使って疑わしいアクセスを拒否してもらうことにします。

DenyHostsのインストール

それでは早速インストールしていきましょう。

EPELリポジトリにありますが、yumでのインストールができないので、rpmを直接ダウンロードしてインストールします。

DenyHostsの設定

続いて、設定を行います。

設定は一例です。好みに応じて、変更してください。

上記以外の項目はデフォルトのままで大丈夫です。設定が終わったら起動をします。

DenyHostsの起動

DenyHostsの起動、自動起動の設定を行います。

次はLogwatchをインストールし、日々更新されるログを確認しましょう。

Logwatchへ

参考にしたサイト様

CentOSで自宅サーバー構築 - SSHサーバー構築(OpenSSH)

初めての！makeServer - DenyHosts

まめ畑 - Denyhosts導入メモ

今回新しく登場したコマンド

• mv
• exit