« ウィルス対策ソフト | メイン | 微妙に更新しました。 »

sshブルートフォース攻撃対策完了

やっと成功しました。
何度、カーネルをビルドしたことか・・・

カーネルパッチはGenbako Kernel collectionさんのサイトから頂戴いたしました。
ビルドしたカーネルはバックアップも兼ねてアップしてアップしておきます。
(玄箱HG用です。玄箱HG以外には入れないように)

kernelimage-2.6.18-kuroHG_20060930.tgz(SHA1)
modules-2.6.18-kuroHG_20060930.tgz(SHA1)

Genbako Kernel collectionさんののinstall-new-kernel.sjis.txtを参考にインストール

インストール手順は、既にGenbako Kernel collectionさんのカーネルにアップしている場合は、以下の手順でインストール
まだの場合は、install-new-kernel.sjis.txtを参考に

cd /mnt
wget http://blog.idealfuture.net/blog/upload/kurobox/kernelimage-2.6.18-kuroHG_20060930.tgz
wget http://blog.idealfuture.net/blog/upload/kurobox/kernelimage-2.6.18-kuroHG_20060930.tgz.sha1.txt
sha1sum --check kernelimage-2.6.18-kuroHG_20060930.tgz.sha1.txt
sudo tar xvzf kernelimage-2.6.18-kuroHG_20060930.tgz -C /boot/

wget http://blog.idealfuture.net/blog/upload/kurobox/modules-2.6.18-kuroHG_20060930.tgz
wget http://blog.idealfuture.net/blog/upload/kurobox/modules-2.6.18-kuroHG_20060930.tgz.sha1.txt
sha1sum --check modules-2.6.18-kuroHG_20060930.tgz.sha1.txt
sudo tar xvzf modules-2.6.18-kuroHG_20060930.tgz -C /lib/modules/

次に、sshブルートフォース攻撃対策
フィルタ リングポリシーは取りあえずDebian GNU-Linux 3.1(sarge)運用ノートさんのサイトからコピペさせてもらいました。

#!/bin/sh
IPTABLES="/sbin/iptables"
EXTIF="eth0"

$IPTABLES -N LSSHBRUTEFORCE
$IPTABLES -A LSSHBRUTEFORCE -m recent --name badSSH --set -j LOG --log-level DEBUG --log-prefix "iptables SSH REJECT "
$IPTABLES -A LSSHBRUTEFORCE -j REJECT

$IPTABLES -N SSHACCEPT
$IPTABLES -A SSHACCEPT -p tcp ! --syn -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A SSHACCEPT -p tcp --syn -m recent --name badSSH --rcheck --seconds 14400 -j REJECT
$IPTABLES -A SSHACCEPT -p tcp --syn -m recent --name sshconn --rcheck --seconds 60 --hitcount 5 -j LSSHBRUTEFORCE
$IPTABLES -A SSHACCEPT -p tcp --syn -m recent --name sshconn --set
$IPTABLES -A SSHACCEPT -p tcp --syn -j ACCEPT

$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22 -j SSHACCEPT


ssh_bruteforce_block.sh等の名前をつけて保存し、
sudo sh ssh_bruteforce_block.sh

で、実行。
実際に試して、うまく働いていることを確認する。

問題なければ保存し、起動時に読み込まれるようにしておく。

sudo /etc/init.d/iptables save active
sudo ln -s /etc/init.d/iptables /etc/rc2.d/S01iptables
sudo ln -s /etc/init.d/iptables /etc/rc3.d/S01iptables
sudo ln -s /etc/init.d/iptables /etc/rc4.d/S01iptables
sudo ln -s /etc/init.d/iptables /etc/rc5.d/S01iptables

reboot後、
sudo /sbin/iptables --list

で、フィルタ リングポリシーが表示されておればOK
再度、実際に試して、うまく働いていれば対策完了

タグ:

投稿者: 謎のクマしゃん 日時: 2006年10月01日 01:38 |

バナー バナー

トラックバック

このエントリーのトラックバックURL:
http://blog.idealfuture.net/mt/mt-tb.cgi/122

コメントを投稿

(いままで、ここでコメントしたことがないときは、コメントを表示する前にこのブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)

検索

About

2006年10月01日 01:38に投稿されたエントリーのページです。

ひとつ前の投稿は「ウィルス対策ソフト」です。

次の投稿は「微妙に更新しました。」です。

他にも多くのエントリーがあります。メインページアーカイブページも見てください。

エントリー・タグ

このブログのフィードを取得
[フィードとは]
Powered by
Movable Type 3.35
  • 累計:
  • 本日:
  • 昨日: