不正アクセス対策

今年に入りSSHをねらった不正アクセスが増えてきました。そこでファイヤーウォール(iptables)の設定とswatchによる監視と、不審者を自動で登録しアクセスを拒否する対策をしました。


まず、gentooなのでこのへんを参照しカーネルを再構築します。
swatchのバージョンはapp-admin/swatch-3.1これ！
iptablesのバージョンはnet-firewall/iptables-1.3.4これ！
カーネル再構築後は再起動し自分の環境に合わせてiptablesを設定しておく！

さて、まずこんなシェルを作っておく場所は/etc/swatch/ipselect.shに。
/var/log/auth.logのDid not receive identification string fromとかFailed password for invalid userとかのログをswatchが監視し、下記のシェルに情報をわたしたらシェルがIPアドレスを抜き出してiptablesのアクセス拒否文を発行する。



つぎに、swatchの定義ファイルを作成。場所は/etc/swatch/.swatchrc


rcファイルはこんな感じ。ちょっとヤッツケっぽいがかんべんして！場所は/etc/init.d/swatchd

#!/sbin/runscript
# Copyright 2004-2006 Husakazu Coyama MoMoSo-NET.COM.
# Ver.0.03
# 2006-01-07 起動及び停止方法の変更
# Ver.0.02
# 記憶にない
# Ver.0.01
# テスト版


SWATCHD_PIDFILE="/var/run/swatchd.pid"

depend() {
need net
}

checkconfig() {
if [ ! -e /etc/swatch/.swatchrc ] ; then
eerror "You need an /etc/swatch/.swatchrc file first"
return 1
fi
}

start() {
checkconfig || return 1
[ -e "${SWATCHD_PIDFILE}" ] && rm -f ${SWATCHD_PIDFILE} &>/dev/null
ebegin "Starting Simple Watcher"
/usr/bin/swatch --config-file /etc/swatch/.swatchrc --tail-file=/var/log/auth.log --daemon
/bin/pidof swatch > ${SWATCHD_PIDFILE}
eend $?
}

stop() {
ebegin "Stopping Simple Watcher"
SWATCHD_PID=`/bin/cat ${SWATCHD_PIDFILE} | /bin/awk '{print $1}'`
/bin/kill -9 "${SWATCHD_PID}"
/bin/rm -f "${SWATCHD_PIDFILE}"
eend $?
}

最後に
rc-update -a iptables default
rc-update -a iptables swatchd default
再起動してあとは掛かるのを待つだけ。

今回使ったスクリプトはMoMoSo-NET.COM Downloadからどうぞ！