sshd_invaliduser_201511
差分
このページの2つのバージョン間の差分を表示します。
| 両方とも前のリビジョン 前のリビジョン 次のリビジョン | 前のリビジョン | ||
|
sshd_invaliduser_201511 [2015-11-15 00:09] tosihisa@netfort.gr.jp |
sshd_invaliduser_201511 [2017-03-19 22:40] (現在) tosihisa@netfort.gr.jp 状態が変更されました |
||
|---|---|---|---|
| 行 12: | 行 12: | ||
| </ | </ | ||
| - | 2464種類のユーザー名でsshdへアクセスを仕掛けてきている. | + | 2464種類のユーザー名でsshdへアクセスを仕掛けてきているようだ. |
| ===== sshdへの不正アクセスユーザ名上位20位 ===== | ===== sshdへの不正アクセスユーザ名上位20位 ===== | ||
| + | |||
| + | 「sshd への不正アクセス」は,当初は上記と同じ方法で調べたが,その場合は root 等の様な存在するユーザ名に対しての情報は得られなかったので,「パスワード認証に失敗したユーザ」として調べる.上記の何種類のユーザ名かの調べ方とは少し異なるので注意. | ||
| < | < | ||
| - | $ cat *.log | grep sshd | grep "Invalid user" | awk ' | + | $ cat *.log | grep sshd | grep "Failed password for " |
| - | 373 admin | + | 485 root |
| - | 183 oracle | + | |
| - | | + | 106 ubnt |
| - | 147 test | + | |
| - | 121 teamspeak | + | |
| - | 112 git | + | |
| - | | + | |
| - | | + | |
| - | | + | |
| - | | + | |
| - | | + | |
| - | | + | |
| - | | + | 8 nmis |
| - | | + | 7 agsadmin |
| - | 58 wordpress | + | 6 ftpuser |
| - | 58 hadoop | + | 6 D-Link |
| - | 56 pi | + | 5 vagrant |
| - | 55 guest | + | 5 cisco |
| - | 55 demo | + | 5 PlcmSpIp |
| - | 54 ts | + | 4 postgres |
| </ | </ | ||
| 行 43: | 行 45: | ||
| ^順位^sshd不正アクセスユーザ名^件数^ | ^順位^sshd不正アクセスユーザ名^件数^ | ||
| - | |1|admin|373| | + | |1|root|485| |
| - | |2|oracle|183| | + | |2|admin|150| |
| - | |3|ubnt|176| | + | |3|ubnt|106| |
| - | |4|test|147| | + | |4|test|47| |
| - | |5|teamspeak|121| | + | |5|user|28| |
| - | |6|git|112| | + | |6|support|26| |
| - | |7|minecraft|98| | + | |7|pi|20| |
| - | |8|teamspeak3|92| | + | |8|wordpress|18| |
| - | |9|ftp|90| | + | |9|oracle|13| |
| - | |10|nagios|82| | + | |10|guest|11| |
| - | |11|user|81| | + | |11|aaron|11| |
| - | |12|deploy|70| | + | |12|a|11| |
| - | |13|jenkins|62| | + | |13|nmis|8| |
| - | |14|support|61| | + | |14|agsadmin|7| |
| - | |15|wordpress|58| | + | |15|ftpuser|6| |
| - | |16|hadoop|58| | + | |16|D-Link|6| |
| - | |17|pi|56| | + | |17|vagrant|5| |
| - | |18|guest|55| | + | |18|cisco|5| |
| - | |19|demo|55| | + | |19|PlcmSpIp|5| |
| - | |20|ts|54| | + | |20|postgres|4| |
| - | |-|合計|2084| | + | |
| - | 上位20位の合計件数で,全体の約84%にあたる. | + | root は UNIX系OSの管理者アカウント名で,数としてはダントツといえる. |
| admin ユーザ,いわゆる管理者ユーザ名として " | admin ユーザ,いわゆる管理者ユーザ名として " | ||
| 行 71: | 行 72: | ||
| 興味深い点としては,第3位の " | 興味深い点としては,第3位の " | ||
| - | 私はてっきり Linux ディストリビューションの ubuntu の略かと思ったのだが,"ubnt ssh server" | + | 私はてっきり Linux ディストリビューションの ubuntu の略かと思ったのだが,“ubnt ssh server” で検索すると,どうも異なるようだ. |
| + | |||
| + | 7位にあるユーザ名 " | ||
| + | Raspbian の " | ||
| + | |||
| + | " | ||
| + | |||
| + | 19位の " | ||
| + | |||
| + | ====== 対策 ====== | ||
| + | |||
| + | まず,当然のこととして,インターネットから見える所で sshd を動かしているならば,sshd への認証は公開鍵暗号方式のみとするのが良いだろう. | ||
| + | |||
| + | とは言うものの,公開鍵がない場合のバックアップ手段としてパスワード認証を使いたい場合や,私のようにズボラな人間(!!)がパスワード認証を使いたい場合がある. | ||
| + | |||
| + | その様な場合は,あまり安直なユーザ名を用いないほうが良いだろう. | ||
| + | |||
| + | root は,とにかくリモートからの ssh は出来ないようにしておいたほうが良い. | ||
| + | |||
| + | ソフト名をユーザ名にするのは,そのソフトの標準の設定もあるかも知れないが,変更可能ならば変更しておいたほうが良いだろう. | ||
| + | |||
| + | また,昨今は Raspberry pi の様な小型 Linux-BOX を IoT 機器として運用するケースもある.その様な場合は,ディストリビューション標準のユーザ名は基本的に使わないほうが良いだろうし,いっそ,そのユーザ名は削除したほうが良いかもしれない. | ||
| + | |||
| + | ネットワーク機器は,標準出荷時設定のユーザ名のまま使うのは避けたほうが良いだろう. | ||
| - | 他,目立つものとしては," | + | 「サーバが狙われる」のではなく,IoT機器でも何でも,ssh でリモートログインできそうな機械は,なんでも狙われると考えたほうが良いだろう. |
| - | これも,これらのサーバを稼働させる時に,非rootで稼働させたいが,良いユーザ名が思いつかない時に,安易にソフト名をユーザ名にするのは想像に難しくないので,そのようなユーザ名が狙われているのだろう. | ||
| - | あるいは,何らかの設定テンプレートにあるユーザ名をそのまま使っているのかも知れない. | ||
| - | 17位にあるユーザ名 " | + | ~~DISCUSSION: |
| - | Raspbian の " | + | |
sshd_invaliduser_201511.1447513787.txt.gz · 最終更新: 2015-11-15 00:09 by tosihisa@netfort.gr.jp
特に明示されていない限り、本Wikiの内容は次のライセンスに従います: CC Attribution 4.0 International
