自宅サーバを作ろう！ - SSHへの不正アクセス拒否

いらっしゃいませ

サーバをインターネット上に公開すると、不正アクセスを試みようとするアクセスの多さにビックリします。

ブルートフォース(ユーザ名、パスワードなどを総当りで試し、解読しようとする暗号解読方法の１つ)対策として有効な手段のひとつは、サーバにアクセスさせないことです。

ここでは、SSHへの不正アクセスを拒否する手順を掲載しています。

[広告]

接続元が固定の場合

接続元のIPアドレスが固定の場合は簡単で、サーバへのアクセスを許可する場合はhosts.allowに、拒否する場合はhosts.denyを編集します。

hosts.allow、hosts.denyの設定

SSHへの接続を許可するホストのIPアドレスが分かっている場合、そのIPアドレスやホスト名をhosts.allowに追加しておきます。

また、それ以外のホストを全て拒否するようhosts.denyに記述しておきます。

この例では、サーバ自身とLAN内からのみ接続を許可しています。

[root@sl ~]# echo "sshd:127.0.0.1" >> /etc/hosts.allow

[root@sl ~]# echo "sshd:192.168." >> /etc/hosts.allow

[root@sl ~]# echo "sshd:ALL" >> /etc/hosts.deny

もし外部から接続をしたい場合も同様に、hosts.allowに接続元のIPアドレスやホスト名を追加すれば可能です。

接続元が非固定の場合

もし接続元のIPアドレスやホスト名がコロコロ変わってしまい、１つに定まらない場合(外出先からやスマートフォンなどからのアクセスの場合)は別の方法で行います。

今回はDenyHostsを使った対策をご紹介します。

DenyHosts

接続元IPアドレスが変動する場合、hosts.denyの設定が出来ないので、このままだと攻撃され放題になってしまいます。

そこで、DenyHostsというソフトウェアを使って疑わしいアクセスを拒否してもらうことにします。

DenyHostsのインストール

それでは早速インストールしていきましょう。

以前はEPELリポジトリにパッケージがあったのですが、今はないのでしょうか？yumで入れようとすると失敗するので、rpmを直接持ってきてインストールします。

[root@sl ~]# rpm -Uvh https://rpmfind.net/linux/dag/redhat/el6/en/x86_64/dag/RPMS/denyhosts-2.6-5.el6.rf.noarch.rpm

https://rpmfind.net/linux/dag/redhat/el6/en/x86_64/dag/RPMS/denyhosts-2.6-5.el6.rf.noarch.rpm を取得中
警告: /var/tmp/rpm-tmp.12wxMc: ヘッダ V3 DSA/SHA1 Signature, key ID 6b8d79e6: NOKEY
準備中...                ########################################### [100%]
   1:denyhosts              ########################################### [100%]

DenyHostsの設定

続いて、設定を行います。

[root@sl ~]# vi /etc/denyhosts/denyhosts.cfg

DENY_THRESHOLD_INVALID = 5
↓
DENY_THRESHOLD_INVALID = 2 // 存在しないユーザに対する不正アクセスを何回で拒否するか

DENY_THRESHOLD_VALID = 10
↓
DENY_THRESHOLD_VALID = 3 // 存在するユーザに対する不正アクセスを何回で拒否するか

#RESET_ON_SUCCESS = yes
↓
RESET_ON_SUCCESS = yes //正しいアクセスがされた場合、回数をリセット

設定は一例です。好みに応じて、変更してください。

上記以外の項目はデフォルトのままで大丈夫です。設定が終わったら起動をします。

DenyHostsの起動

[root@sl ~]# /etc/init.d/denyhosts start

starting DenyHosts: /usr/bin/env python /usr/bin/denyhosts.py --daemon --config=/etc/denyhosts/denyhosts.cfg

[root@sl ~]# chkconfig denyhosts on

[root@sl ~]# chkconfig --list denyhosts

denyhosts       0:off   1:off   2:on    3:on    4:on    5:on    6:off

次はアンチウィルスソフトをインストールしましょう。

Clam AntiVirusへ

参考にしたサイト様

Scientific Linuxで自宅サーバー構築 - SSHサーバー構築(OpenSSH)

まめ畑 - Denyhosts導入メモ

今回新しく登場したコマンド

[広告]

トップページ

Scientific Linux 6

○準備

○仮想化準備（VMware）

○仮想化準備（Hyper-V）

○仮想化準備（Proxmox）

○基本操作

○導入

○セキュリティ対策

○NTPサーバ

ntpd

○Dynamic DNS

○DNSサーバ

BIND

○データベース

MySQL

○WEBサーバ

○FTPサーバ

vsftpd

○メールサーバ

○ブログシステム

WordPress

○その他

Proxmox 8

Rocky Linux 10

AlmaLinux 9

Rocky Linux 8

CentOS 7

CentOS 5

ブログ

[広告]