SSHへの不正アクセス対処法をhashlimitに変更
September 19, 2014 – 9:31 am7年前に、このserverを公開して以来、SSHへの不正アクセス対策としてiptablesのlimitモジュールを用いていた(導入のいきさつ)。この方式だと不正アクセスが継続して行われると、完全にSSHサービスがブロックされる。今回、limitモジュール方式に代え、hashlimitモジュールを使用することに代えたので、iptablesの変更部分についてメモしておいた。
iptablesの変更: 以下にiptablesの変更部分について修正前、修正後のそれぞれについて示す。
修正前:
/sbin/iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT /sbin/iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
修正後:
/sbin/iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit \ --hashlimit-name ssh_limit --hashlimit 1/m --hashlimit-burst 5 \ --hashlimit-mode srcip --hashlimit-htable-expire 360000 -j ACCEPT
参考にした記事:
- iptablesで鉄壁?の守りを実現する3つのTips
- ssh の brute force アタックパケットの制限 — DOS 的パケットをフィルタリングする
- hashlimitにて接続回数にて接続元を拒否
- iptablesでできるDoS/DDoS対策
1 Trackback(s)