« フレッツ光プレミアムでPPPoE | メイン | 予備バッテリーPocket MOBA »
2006年7月23日
iptablesを1.3.5へアップデート
我が家で稼動しているサーバーくん[ Debian 3.1(sarge) ]がいるのですが、
先日実験のためにルーター設定を変更し、SSHのポートを開けたとたんに毎日たくさんの攻撃をうけるようになってしまいました。
(SSH ブルートフォース攻撃という、総当り攻撃ですね)
ログをみてみると、同じIPから沢山の「ありそうなユーザー名」でアクセスしようとしたり、「root」
と色んなパスワードの組み合わせで試した結果が記録されてます。
ウチの場合は、SSHにアクセスするユーザーは私一人という前提で動かしているので、
ユーザーも一人に限定した上に鍵認証のみでパスワードは受け付けないという前提なので、いまのところ実害は無い様子です。
しかし・・・、やはり毎時間ごとに数百Kバイトのログがつくような攻撃にサーバーをさらしたままというのも気持ちが悪いので、 防御方法を探してみました。
すると、
http://www.musicae.ath.cx/diary/?200506c&to=200506272#200506272
のようなサイトがあり、早速私もiptablesで設定してみたところ有効に動いている模様。イッキにログが減りました。
しかし、喜んでいたのもつかの間、気が付くと私自身がLAN側からアクセスしても拒否されているのに気が付き、 あわててPHS経由でログインしてみると、iptablesのバージョンが1.2.11だということが判明しました(しらべてませんでした、 とほほ)
http://d.hatena.ne.jp/hirose31/20050920/1127208718
ここのサイトさんが事前に書いていてくれたのに、同じ目にあってしまったわけですね(^^;
で、配布元のサイトから最新版(?)のiptables-1.3.5をダウンロードして、
まずはvmware上のdebianにてmake &
install。
reboot後に-V 1.3.5として正常に稼動するのを確認した上で、サーバーへも同じソースを転送。
vmware上では何も考えずに
make
make install
だけでアップデートできたのに、なぜかサーバーではうまくいかず、いつまでも-V 1.2.11のまま。
添付されていたINSTALLファイルに従って
make BINDIR=/usr/bin ...とやってもまだうまくいかない・・
・
いったいiptablesってドコに隠れているんだ?と探してみると、
/sbinにあったのでした。
というわけで気を取り直し、
make BINDIR=/sbin LIBDIR=/usr/lib MANDIR=/usr/man
install
にて、今度こそアップデート完了。
そして、あらためて最初の設定(sshへの連続アクセスをrejectする設定)を流し込み、防御体制完了~!
これでいまのところ有効に働いてくれている模様。あんまりウチのサーバーを苛めないでほしいんだけどなぁ(^^;
投稿者 yamatec : 2006年7月23日 00:16
トラックバック
このエントリーのトラックバックURL:
http://yamatec.org/mt/mt-tb.cgi/182