2006/08/28(月) [n年前の日記]
#1 [linux] swatch関係をちょこっと修正
また中国から、ftpサーバに攻撃(?)が。さすがにこれだけ多いと、手作業で拒否IPを書くのが面倒に。ということで自動化を。
/etc/swatchrc を修正。
ウチのFTPサーバ(ProFTPD)は、TCP Wrapper(tcpd) で起動されるので、/etc/hosts.deny に「in.proftpd: nnn.nn.nn.nn」という形で書けば、FTPサーバへのアクセスを拒否できる。というか、アクセスしてきてもサーバを起動しないようにできる。でも、本来は iptables を使うべきなのかもしれない。今後の課題。
最初のうちは、swatch の自動実行スクリプト、/etc/rc.d/init.d/swatch 中で、--awk-field-syntax をつけて swatch を起動してたのだけど。それだと、watchfor /...(...).../ で取得した文字列を $1 といった指定で利用できないようで。--awk-field-syntax は削除。
/etc/swatchrc を修正。
watchfor /\[(\d+\.\d+\.\d+\.\d+)\]\) - Maximum login attempts/ mail=root,subject=swatch(Maximum login attempts) exec /bin/echo in.proftpd: $1 >> /etc/hosts.denyFTPサーバに Administrator でログインしようとして、拒否回数(?)を越えると /var/log/messages に「Aug 28 11:20:38 xxxx proftpd[xxxx]: xxxxxxxx (nnn.nn.nn.nn[nnn.nn.nn.nn]) - Maximum login attempts (x) exceeded」という感じの文字列が残る。それが出てきたら、root にメールを送りつつ、IP を取り出して /etc/hosts.deny に追加するようにしてみたり。
ウチのFTPサーバ(ProFTPD)は、TCP Wrapper(tcpd) で起動されるので、/etc/hosts.deny に「in.proftpd: nnn.nn.nn.nn」という形で書けば、FTPサーバへのアクセスを拒否できる。というか、アクセスしてきてもサーバを起動しないようにできる。でも、本来は iptables を使うべきなのかもしれない。今後の課題。
最初のうちは、swatch の自動実行スクリプト、/etc/rc.d/init.d/swatch 中で、--awk-field-syntax をつけて swatch を起動してたのだけど。それだと、watchfor /...(...).../ で取得した文字列を $1 といった指定で利用できないようで。--awk-field-syntax は削除。
◎ service swatch restart でも再起動できるのだな。 :
今まで、/etc/rc.d/init.d/swatch restart と一々打ってた。トホ。
この記事へのツッコミ
[ ツッコミを読む(6) | ツッコむ ]
以上です。
spamコメントがつくようになったので
jpと「jp以外の日本のプロバイダ」以外はアクセス禁止スクリプトを書いて
弾いてましたよ。
まぁ、法人がアクセスするとは思えないので
割り切ってましたが。
!! それでblogが見れなくなってたのですか…
RSSリーダーがエラーを返してたので、なんか変だなと…。
なるほどであります。
ウチの公開内容を考えると、
jp以外は弾いちゃうのも、選択肢としてはアリかもしれないですな…。
やるやらないは別にして、そのへんも今後の課題、であります。
ドメイン名がbbtec.netですから。
おまけに、私が加入しているプロバイダ(2ndですが)も.comですし。
なんと。自分、てっきりIPで弾くものとばかり…。
ドメイン名を逆引き(って言うのですかね?)して、
文字列で「jp」以外を弾いてた、という感じなのでしょうか。
それはたしかに弊害が多そうな予感。
IPで弾く方法は、
どこまでが日本国内のIPアドレスなのかがものすごく分かりにくいんですよね。
日本はアジア枠使ってるケースも多々ありますから、
どこからどこまでが日本国内なのか…
> ドメイン名を逆引き
> 文字列で「jp」以外を弾いてた
そうです^^
.jpをつけない国内ISPはそれほど多くないですから
この部分だけ例外で通すようにしておけばなんとかなります。
IPで制限した場合、漏れがあると海外からの不意のアクセス弱いですし。
なるほど、そういう問題があるわけですか。こりゃ厳しい…。
まあ、それ以外の方法で対応できるなら問題はない…といいなぁ。