23:07:51 # Life 最近sshのスキャニング攻撃が多い. 流行している回避する方法としては, 高速に同じIPアドレスからくるアクセスを抑止する,というものがあるようです. いままで見た例は,ログを取得してそれを解析する,という手順を踏むものが多かったみたいですが, iptablesのみをつかう方法,というのもあるので紹介しておきます. Erich Schubertのblogより.
iptables -A FORWARD -i ethLRZ -p tcp --dport 22 -m state --state NEW \
-m recent --set --name SSH
#$iptables -A FORWARD -i ethLRZ -p tcp --dport 22 -m state --state NEW \
# -m recent --update --seconds 60 --hitcount 5 --rttl \
# --name SSH -j LOG --log-prefix "SSH_brute_force "
iptables -A FORWARD -i ethLRZ -p tcp --dport 22 -m state --state NEW \
-m recent --update --seconds 60 --hitcount 5 --rttl --name SSH -j DROP
iptables -I INPUT -i ppp0 -p tcp --dport 22 -m state --state NEW \
-m recent --update --seconds 60 --hitcount 5 --rttl --name SSH -j DROP
iptables -I INPUT -i ppp0 -p tcp --dport 22 -m state --state NEW \
-m recent --set --name SSH
コードを見てみたけれども,spinlockってこんなにしてもよいのだろうか? あと,linked listとかでIPアドレス毎に管理しているようにみえるなぁ... あまりたくさんのIPアドレスからアクセスが一度にきた場合にはメモリを使い果たしたりできるのだろうか? /proc/net/ipt_recent/SSH にてIPアドレス毎の最近のアクセス状況の一覧が出て来るため, 確認してみるのもよいかもしれません.
23:49:13 # Life FedoraがSCIMへ. Fedore CoreのFC5に向けての変更の一部として,IIIMFがなくなり,SCIMになった,との 記述がある. RedHatがSCIMになったら,それなりにSCIMへの移行がすすんでしまうのではないだろうか? kernel planetより. Zaitcevのblog. 彼は Jeremy Katzのblogから知ったらしい.
$Id: dancer-diary.el,v 1.89 2005/05/12 11:19:14 dancer Exp $