【ClamAV】さくらVPSのセキュリティ対策【sshd】

| 0件のコメント

OS は Centos 6.5 です。
VPS契約後のデフォルトssh設定で数日放置しておくだけでけっこうなアタックを受ける事になります。

$ grep -c Failed /var/log/secure
4889
$ grep -c invalid /var/log/secure
760

以下のように, システムに存在するユーザに対してパスワード認証でログインを試みているのがわかります。

Failed password for root from 222.186.15.86 port 3409 ssh2
...
Disconnecting: Too many authentication failures for root

知らないうちにマルウェアを仕込まれ, 攻撃者の Bot-Net に追加されているかもしれません。
共用サーバと異なり専用サーバのセキュリティは自己責任となりますので, 最低限のセキュリティ対策はしておきたい所です。

ssh設定変更で対策

簡単なsshに関する対策として以下が挙げられます。

  • パスワード認証をOFFにする
  • sshのサービスportを変更
  • sshクライアントのIPアドレスに制限をかける

iptablesで不必要なポートは閉じている事を確認してから、今回はsshを公開鍵認証に切り替えてパスワード認証をOFFにします。

まず、リモートホスト上で秘密鍵を作成します。

$ mkdir .ssh
$ chmod 700 .ssh
$ ssh-keygen
$ mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
$ chmod 600  ~/.ssh/authorized_keys

秘密鍵をリモートホストから転送します。

$ scp -r xxx@xxxx.sakura.ne.jp:~/.ssh/id_rsa  ~/.ssh/sakura/

sshdの設定変更を行い再起動します。ついでに root での login も禁止しています。また, AllowUsers でユーザを制限します。

$ vim /etc/ssh/sshd_config
PubkeyAuthentication yes
PasswordAuthentication no
PermitRootLogin no
AllowUsers git xUser

$ service sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

Ubuntuの場合は sudo /etc/init.d/ssh restart で再起動します。
公開鍵認証でログインできるか確認します。

$ ssh -i ~/.ssh/sakura/id_rsa  xxx@xxxx.sakura.ne.jp

configファイルのコメント行が多いのはどうにかならないものか。Apacheよりは全然ましなのだけれども。

$ grep ^# /etc/ssh/ssh_config | wc  -l
48
$ grep -v ^# /etc/ssh/ssh_config | wc  -l
11

ClamAV install

OSSのアンチウィルスソフトである ClamAV をインストールします。

$ yum -y install clamd
$ freshclam
$ /etc/rc.d/init.d/clamd start
Starting Clam AntiVirus Daemon:                            [  OK  ]

$ /etc/rc.d/init.d/clamd status
clamd (pid 14718) を実行中...

$ chkconfig clamd on

Ubuntu14.04の場合は下記です。 log は /var/log/clamav/freshclam.log です。
ウィルスチェックはデフォルトだと, SelfCheck 3600 となっており 1h ごとのようです。

# Ubuntu 14.04
$ sudo apt-get install clamav-base clamav-daemon

$ sudo vim  /etc/clamav/clamd.conf
...
SelfCheck 21600
...

$ sudo /etc/init.d/clamav-freshclam start
$ sudo /etc/init.d/clamav-freshclam status
 * freshclam is running


[1] Ubuntu14.04LTSで出来るだけSecureなサーバを構築する
[2]
そこそこセキュアなlinuxサーバーを作る

コメントを残す

必須欄は * がついています