ssh attack bot のシーケンス
ハチ壷のなかに来たbotさんの動きはこんな感じ
- connect to 'my pc'
- connect to ':22'
- login test 'root'
- password test *
- connect to 'my pc'
/etc/hosts.allow , ip table , ipfw ipfilter で 特定アドレス以外をBANしておけば、ok
- connect to ':22'
port番号変更、ただし、 .ssh/known_hosts で警告でたりするのがめんどーなのでやってないな..
sshd -p
- login test 'root'
PermitRootLogin no これは当たり前。 OpenBSD版もFreeBSD移植版もnoなのに なぜかLinux系だとyesになっとるよな。
loginのときにhttp://journal.mycom.co.jp/news/2007/03/08/340.htmlできるのでこれも利用できそう
- password test *
PasswordAuthentication no → RSAAuthentication yes
公開鍵認証は、Windows to UNIXだとめんどくさいので個人ユースでクローズの場合しなくていいとはおもう。
公開サーバなどの毎日ブルートフォースされるようなものはやらないと半年以内に破られる。
どーしてもパスワード認証をしたいときなどはWelcome to DenyHostsやSSHへのブルートフォースアタックにpam_ablを用いて対策する | OSDN Magazineのようなものを入れておくと良さげかもしれない。
(r.f. http://opentechpress.jp/security/article.pl?sid=07/04/03/0148224)
(c.f. http://denyhosts.sourceforge.net/)
(c.f. http://opentechpress.jp/developer/article.pl?sid=07/03/30/0133246)
(c.f. http://journal.mycom.co.jp/news/2007/03/08/340.html)
(c.f. IRC Auto K-Line)
しかし、へらへらしながらさくらちゃんにtelnetしてたころが懐かしいですね。