今泉です。
From: Yoshisato YANAGISAWA <[EMAIL PROTECTED]>
Date: Wed, 17 May 2006 18:19:34 JST
> この手の力任せにログイン名、パスワードを調べるような動きをするホストを
> 出入り禁止にする security/bruteforceblocker というportがありますね。
> これを設置すると指定した回数以上ログインを失敗するとそのIPアドレスからの
> sshポートへの接続を禁止するようファイアウォールに自動で設定することが
> できます。このportは他のホストへの攻撃結果をWebからダウンロードして利用
この様な port があったんですね。
暫く前から ssh に対する不正ログインが目立って来たので、
以下の様なスクリプトを作って Charlie さんからのメールを食わして、
ipfw の設定を動的に追加する様にして対応したりしていました。
#あまりに増えすぎたので最近は hosts.allow ベースでアクセス許可IPを絞ってます
#!/bin/sh
ipfw="sudo /sbin/ipfw -q"
awk '
/ssh.*refused/{
gsub(/[()]/, "", $NF); # get IP addr
addrs[$NF] = $NF;
}
END{
for(ip in addrs)
printf("add %d deny ip from %s to any\n", ++rule, ip);
}
' rule=`$ipfw list | egrep -v '^655..' | tail -1 | sed 's/[ ].*$//g'` |
xargs -L 1 $ipfw
> 唯一の問題は、OpenBSD由来のパケットフィルターである pf (packet filter)
> にしか対応していないことですが、ハックしてipfに対応させた人は
> 居るようです。
ipfw 対応の HACK はどこからか取得できるのでしょうか?
というか、そろそろ pf に移行すべきなんでしょうかね…むー
--
Mitzyuki IMAIZUMI <[EMAIL PROTECTED]>
