半年かもう少し短いくらい前から、やたらとニュージーランドからのサーバーへのアタックが増えてます。
どうしたの?ニュージーランド。 たまたま私のサーバーへは来てなかっただけで、前からなのでしょうか?
ここでSSHなどへの不正アクセス対策について少々思うこと。
「不正ブロックをTCP wrapperで制限は古い、二重はややこしくてわからなくなるのでiptables(fail2ban)だけで良い」といった記事を見たことがあります。
おじさんは古い脳で、対策が二重や三重なのは良いことだと思っていたから衝撃を受けた。
何が正しいかは環境によりますが、ブロックという目的をふまえたら一重は頼りなく思えて仕方ないです。
hostsで制限掛けて、アタックにはiptablesで対応という、二者は役割も違うと理解しておりました。
hostsは悪気の有無を区別しない良くも悪くも平和な砦。
iptablesだけでいいといった環境はきっと全DROP前提サーバーなのでしょう。 設定がすっきりしていて、確かに二重はややこしいかもしれません。
フルオープンからの不正拒否をしなければいけないサーバーでは是非とも二重三重を心掛けていただきたと思います。
SSHを例にすると
・hostsで自分のドメインやIP範囲まで絞る
・SSH認証は秘密鍵の利用
・ログにはびこる悪はiptablesでスッキリ
最初にhostsは外部からのアクセスへ対して「あなたはちょっとお呼びでない」とやんわり断ります。
秘密鍵はどちらかというと身内からの接続に対してセキュリティ意識を高めるため。
iptablesはしつこいアタックへ挙動を変化させて、拒否が強固になったと対策を明示するため(主に相手が人間であればですけど…)
これくらいが最適だとやってきました。
何かの拍子にヒューマンエラーがでても、大事には至らないようにしたいですね。
2021/12/14
--------------------------------
