mieki256's diary

サーバーのログを見たらFTPに対してadministratorやtestといったユーザーでログオンを1秒おきに試みる恐ろしいログを発見。18日は朝から延々とやってたみたい。

おろかな日々 - うーむ より

あー。同じだ。む。去年の話か…。

ウチの自宅サーバは Vine Linux で動かしてるのだけど。TCP Wrapper なるものを設定すれば、IPでアクセス制限できるらしい。また、ポートにアクセス(?)されたときだけサーバを起動するので、サーバをメモリ上に常駐(?)させずに済む、というメリットもあるらしく。…もちろん、サーバが起動するのに時間がかかるから、頻繁に使うサーバならかえってデメリットになりそうな。と言ってもウチのFTPサーバは1日に数回しか呼ばれないので、そのへんの問題はナサゲ。

以下を参考にして設定してみたり。

_Linuxで自宅サーバー構築(TCP Wrapperの設定)
_TCP_Wrapper を使う
_TCP Wrapper
_＠IT：止められない基幹業務サーバの管理対策 第3回 - Page2

_設定内容の妥当性チェック（tcpdchk） + 設定したアクセス制限をシミュレーション（tcpdmatch）

TCP Wrappers付属のtcpdchkを使い、hosts.allowおよびhosts.denyの設定に不備がないかをチェックする。存在しないパス名やプロセス名が含まれていた場合は、その問題点が報告される。

＠IT：止められない基幹業務サーバの管理対策 第3回 - Page3 より

tcpdchkと同様に、TCP Wrapper付属のtcpdmatchコマンドを使うことで、設定したアクセス制限のルールを疑似的に確認することが可能だ。

＠IT：止められない基幹業務サーバの管理対策 第3回 - Page3 より

ということで作業。

Vine Linux はFTPサーバに proftpd を使ってるので、/etc/proftpd.conf を編集。FTPサーバの起動方法(?)を変更する。

# vi /etc/proftpd.conf

ServerType                     standalone
    ↓
#ServerType                     standalone
ServerType                      inetd

standalone で動かしてたものを、inetd 経由で起動するようにする、のかな。

proftpd サーバが動いてるので、停止。…このへんの順番はよくわからない。/etc/proftpd.conf を編集する前に止めたほうがいいのかしら。

# /etc/rc.d/init.d/proftpd stop

inetd.conf を編集。

# vi /etc/inetd.conf

#ftp     stream  tcp     nowait  root    /usr/sbin/tcpd  in.proftpd
    ↓
ftp     stream  tcp     nowait  root    /usr/sbin/tcpd  in.proftpd

Vine Linux なら、コメントの形で既に記述があるので、コメントアウトを外すだけ。

hosts.allow、hosts.deny というファイルに、アクセス制限するIPを記述。

• hosts.allow ← 許可するIPを記述。
• hosts.deny ← 拒否するIPを記述。

本来なら、hosts.deny に「ALL: ALL」と書いて、一旦全部アクセス拒否にしたうえで、hosts.allow で許可する範囲を記述していくらしいのだけど。 *1 ウチは、友人知人にもアカウントを与えてるので、外部からアクセスされる・異なるIPからアクセスされることがありえる。ので、IPを固定して考える・許可するのは難しい。ひとまず hosts.deny に、

in.proftpd: xxx.xxx.xxx.xxx

という形で、拒否したいIPを追加するだけにした。…また、本来なら、hosts.allow、hosts.deny を別のところにコピー → そちらを編集 → 内容が正しいかチェックしてから、本来の場所に移したほうがいいらしい。

tcpdchk で hosts.allow、hosts.deny が正しいかチェック。

# tcpdchk -v

オプションをつけなければ、/etc/hosts.allow、/etc/hosts.deny をチェックする。…警告が出てきた。

warning: /etc/hosts.allow, line 8: sshd: no such process name in /etc/inetd.conf

「sshd なんてプロセス名は /etc/inetd.conf に書いてないけど？」という感じ？ なのかな？

_[vine-users:062359] Re: sshd接続時のtcpwrapperでの動き

これは多分，sshd の再起動をしてなかったからではないでしょうか。
# 私もよくはまります。(^^;

sshd は， tcpd 経由で invoke されるのではなく， 直接 /etc/hosts.{allow,deny} を起動時に読みにいって制限を掛けるはずなので， /etc/hosts.{allow,deny} を書き換えた後には /etc/rc.d/init.d/sshd restart が必要です。

[vine-users:062359] Re: sshd接続時のtcpwrapperでの動き より

ということで、/etc/inetd.conf には書いてなくても、sshd が直接 hosts.allow、hosts.deny を見ていくらしい。なもんで、警告が出るらしい。気にしなくていいということかな。あくまで警告、でもあるし。

inetd を再起動。

# /etc/rc.d/init.d/inet restart

tcpdmatch で、アクセス制限できてる感じかどうかをチェック。

# tcpdmatch in.proftpd xxx.xxx.xxx.xxx

client:   address  xxx.xxx.xxx.xxx
server:   process  in.proftpd
matched:  /etc/hosts.deny line 13
access:   denied

一番最後に、「denied」と出てる。このIPは拒否、ということかな。 「granted」なら許可、ということらしい。

Windows 機でFTPクライアントからアクセスしてみた。…アクセスできてる。…Windows 機のIPを hosts.deny に追加してみた。…アクセスできなくなった。期待通りに動いてるっぽい。

hosts.allow、hosts.deny に書いた瞬間に、アクセス制限は働くらしい。一々、inetd を再起動する必要はないらしく。

「Administrator」というアカウント名(ユーザ名？)でアクセスしてくる相手は、IPを変えてアクセスしてきてるので、その都度 hosts.deny に書いてかないといけない。なんだか、根本的に対策できてる感じがしない。

アカウント名で拒否するような設定にはできないんだろうか。参考ページによると、それもできるっぽいように見えたのだけど。具体的にはどう書けばいいのか、あるいは、そういう指定をする際に、何かしら条件があるのか、そのへんまだ判ってない状態。