[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:25662] Re: ssh dos



早間です。

From: Hiroshi Futami <futami@nanodesu.jp>
Subject: [plamo:25661] Re: ssh dos
Date: Tue, 14 Jun 2005 10:38:17 +0900 (JST)
Message-ID: <20050614.103817.74751169.futami@nanodesu.jp>

> ふたみなのです。
> 
> From: 早間 <hayama@kmf.biglobe.ne.jp>
> Subject: [plamo:25654] ssh dos
> Date: Mon, 13 Jun 2005 15:53:36 +0900 (JST)
> 
> > iptables で
> > iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
> > の代わりに
> > iptables -A INPUT -p tcp --syn --destination-port 22 -m limit
> >    --limit 1/m --limit-burst 1 -j ACCEPT
> > 入れて置くと ssh の dos 攻撃から逃げられます。
> 
> 素朴な疑問なのですが、ルータでポートの22番を塞ぐのとどちらが
> 管理コストが安いのでしょうか?
> 

ホストの運用形態と使用者の考え方に帰する問題かも知れません。

(1) sshd へのアクセスを LAN内に限るのであれば「ルータでポートの22番
    を塞ぐ」ことで対応できるでしょう。 
(2) sshd を使用しないならば sshd を起動しなければ済むことです。
(3) sshd のポートを 22 以外にするのも方法です。
(4) 防御自体も一段だけで済ますこともあれば何段階も掛けることもあり
    ます。

例えば plamo のパッケージでは openssh がインストールされます。
もちろん、自分の責任で対策をすることが大前提ですが
ディフォルトで sshd がポート22 で起動するように設定されています。
sshd が起動されると言うことは他のホストから ssh がアクセスすること
を期待していると言う見方も出来ます。

このような時に悪意のアクセスに対する防御を幾つか用意しておくことは
重要です。
ポート 22 の高速なアクセスに対する制限は
 ・ホスト側で他に頼らない防御手段です。
 ・設定しても通常処理への影響が殆どありません。

「ssh がつながりません」という質問を誘発する設定にはなりません。

# ポート22 を開いていない系にはポート 22 への アクセスが殆どありま
# せん。それなりにポート22 を開いているホストをサーチしているよう
# です。 
# 放置すると起動できるデーモンの限界まで起動されます。

-- 早間 義博

Follow-Ups
[plamo:25663] Re: ssh dos, Shun-ichi TAHARA (田原 俊一)
[plamo:25666] Re: ssh dos, Hiroshi Futami
References
[plamo:25654] ssh dos, 早間
[plamo:25661] Re: ssh dos, Hiroshi Futami

[検索ページ] [メール一覧]
Plamo ML 公開システム