今日は雪が降るといって降りませんでしたが、とても寒い一日でした。
場所によっては沢山降ったところもあるかと思います。一人でパソコンをやっている時には体を冷やさないように暖かい格好で作業しないと手が冷たくなったり、足元が冷えたりして血液の循環が悪くなって肩凝りをしたり、風邪を引いたりするので、皆さんもご注意ください。
前置きが長くなりましたが、久しぶりに家のATOMサーバー(CentOS-6.4 64bit)について書きたいと思います。
このところ、ちょこちょことセキュリティ面の強化をしていました。
と言うのが、アタック(攻撃)が毎日のようにあるからです。
メールサーバーだけではなく、Apache(httpd)、WordPressにもあります。
最近の攻撃スタイルとしては、WP(WordPressの略)のURLに対してcgi-binやらPHPやらの長いアドレスを付けてエラー表示をさせて、Apacheのヴァージョンを調べたり、Apacheの設定に隙が無いか確認をしつこい程行ってきます。WPもヴァージョンが新しくなりましたから脆弱なところは今のところありませんが、ファイルの属性(パーミッション)等には注意が必要です。
メールサーバーについては、SMTPの認証に、Brute_Force_Attackという形で色々なIDとパスワードを総当りでぶつけてきます。これは以前からやってきていますが、無駄にサーバーのリソースを使われるのが悔しいので対処方法を考えていました。
Apache(httpd)については、DoS攻撃対策用に、mod_evasiveの設定をしたありましたが、その他にも、mod_securityを導入しました。このmod_securityはルールを設定して、そのルール外の要求に対してブロックをしてくれます。httpdのiptableみたいな感じです。導入する事によってパフォーマンスの低下は仕方ないところですが、何か対処しなくては、と思っているサーバーオーナーの方は、調べて導入してみることをお勧めします。
特に私が感動してしまったシェルがあります。
sshd
vsftpd
Postfix+Dovecot
Apache
このCentOSの標準装備のサービスに対して、各logからエラー表示を抜き取り、自動的にその攻撃してくるIPをdeny扱い(遮断)してくれて、その結果をメールで通知してくれる、とても有難いものです。
Brute Force Attack対策+α で見てください。
CentOS-5、CentOS-6に対応してあって、内容がとても分かり易く、効果抜群です。
作者のry.tl様、ネットでの提供ありがとうございます。
何度も同じIPからの攻撃で悩んでいる方は是非とも検討して欲しいと思います。
ちなみにIPが遮断されると・・・・・・
[HTTP]ログ監視にて、5回の不正なアクセスログを確認。
対象ホストのIPアドレスをiptables及びブラックリストファイルへ追加しました。
IPアドレス [81.143.170.220]
[MAIL]ログ監視にて、5回の不正なアクセスログを確認。
対象ホストのIPアドレスをiptables及びブラックリストファイルへ追加しました。
IPアドレス [195.70.7.165]
というようなメールが設定されたアドレスに届きます。この設定では5回同じエラーを確認すると遮断するように設定がされているので、丁度、5回目にdeny_IPとなった訳です。上がhttpdで下がpostfixです。
何しろ、今まで手作業でdeny_IPをしていましたが、自動的にcronでログをチェックしてくれて、ブラックリストに自動的に書き込んだ上に遮断してくれる有難いものです。
毎日、どんな奴等がブラックリストになっているか、ログを見る楽しさもあります。
攻撃されないのが一番ですが、それはあり得ないし、個人的に管理しているサーバーであれば、セキュリティ面においては、気を配って欲しいと思っています。
このような良いソフトに出会えて良かった。