今泉です。 From: Yoshisato YANAGISAWA <[EMAIL PROTECTED]> Date: Wed, 17 May 2006 18:19:34 JST
> この手の力任せにログイン名、パスワードを調べるような動きをするホストを > 出入り禁止にする security/bruteforceblocker というportがありますね。 > これを設置すると指定した回数以上ログインを失敗するとそのIPアドレスからの > sshポートへの接続を禁止するようファイアウォールに自動で設定することが > できます。このportは他のホストへの攻撃結果をWebからダウンロードして利用 この様な port があったんですね。 暫く前から ssh に対する不正ログインが目立って来たので、 以下の様なスクリプトを作って Charlie さんからのメールを食わして、 ipfw の設定を動的に追加する様にして対応したりしていました。 #あまりに増えすぎたので最近は hosts.allow ベースでアクセス許可IPを絞ってます #!/bin/sh ipfw="sudo /sbin/ipfw -q" awk ' /ssh.*refused/{ gsub(/[()]/, "", $NF); # get IP addr addrs[$NF] = $NF; } END{ for(ip in addrs) printf("add %d deny ip from %s to any\n", ++rule, ip); } ' rule=`$ipfw list | egrep -v '^655..' | tail -1 | sed 's/[ ].*$//g'` | xargs -L 1 $ipfw > 唯一の問題は、OpenBSD由来のパケットフィルターである pf (packet filter) > にしか対応していないことですが、ハックしてipfに対応させた人は > 居るようです。 ipfw 対応の HACK はどこからか取得できるのでしょうか? というか、そろそろ pf に移行すべきなんでしょうかね…むー -- Mitzyuki IMAIZUMI <[EMAIL PROTECTED]>