今年に入りSSHをねらった不正アクセスが増えてきました。そこでファイヤーウォール(iptables)の設定とswatchによる監視と、不審者を自動で登録しアクセスを拒否する対策をしました。
桃曽根 歳の神より
まず、gentooなので
このへんを参照しカーネルを再構築します。
swatchのバージョンはapp-admin/swatch-3.1これ!
iptablesのバージョンはnet-firewall/iptables-1.3.4これ!
カーネル再構築後は再起動し自分の環境に合わせてiptablesを設定しておく!
さて、まずこんなシェルを作っておく場所は/etc/swatch/ipselect.shに。
/var/log/auth.logのDid not receive identification string fromとかFailed password for invalid userとかのログをswatchが監視し、下記のシェルに情報をわたしたらシェルがIPアドレスを抜き出してiptablesのアクセス拒否文を発行する。
