sshログインすると「POSSIBLE BREAK-IN ATTEMPT!」のエラー表示

sshログイン時に「but this does not map back to the address – POSSIBLE BREAK-IN ATTEMPT!」と表示される

sshでログインすると下記のように「but this does not map back to the address – POSSIBLE BREAK-IN ATTEMPT!」て感じでエラーが表示されます。

このサーバーですが、SSHポートを変更したかったのですが、サーバーを利用している業者SCPクライアントでWEBコンテンツのアップロード等をしておりSSHポート変更したかったのですが難しくSSHポートができなかったんです

SSHポートを変更していないのでアタックが多いかとおもっていたら、やはりsshd へのブルートフォース攻撃みたいな受けていますね。

「/var/log/secure」ログで「POSSIBLE BREAK-IN ATTEMPT」をキーにしてIPアドレスで集計してみと下記の結果に

SSHの不正ログイン対策

SSHでの不正ログインが多いので、結構アタックがきています。対策としては以下の対策があります

  1. SSHポートを22番ポートを違う番号にする
  2. /etc/hosts.deny に今拒否するIPアドレスを追加していく
  3. F/Wのiptables等で、接続を拒否するIPアドレスを追加していく

SSHポート変更は、サーバーを利用している業者に説明が必要なので難しいので、iptableに追加していきます。

「/var/log/secure」で「POSSIBLE BREAK-IN ATTEMPT」の文言を含むIPアドレスを集計して、上位10個のIPアドレスをiptableで追加していきます

根本的な対策になっていませんが、応急処置で対応してみました

スポンサーリンク

LinuxCentOS 6

Posted by admin