差分

このページの2つのバージョン間の差分を表示します。

--- sshd_invaliduser_201511 [2015-11-15 00:41]
tosihisa@netfort.gr.jp
+++ sshd_invaliduser_201511 [2017-03-19 22:40] (現在)
tosihisa@netfort.gr.jp 状態が変更されました
@@ 行 12: / 行 12: @@
 </code>
-種類のユーザー名でsshdへアクセスを仕掛けてきている．
+種類のユーザー名でsshdへアクセスを仕掛けてきているようだ．
 ===== sshdへの不正アクセスユーザ名上位20位 =====
+「sshd への不正アクセス」は，当初は上記と同じ方法で調べたが，その場合は root 等の様な存在するユーザ名に対しての情報は得られなかったので，「パスワード認証に失敗したユーザ」として調べる．上記の何種類のユーザ名かの調べ方とは少し異なるので注意．
 <code>
-$ cat *.log | grep sshd | grep "Invalid user" | awk '{print $8;}' | sort | uniq -c | sort -nr | head -20
+$ cat *.log | grep sshd | grep "Failed password for " | sed -e 's/ invalid user / /' | awk '{print $9;}' | more | sort | uniq -c | sort -nr | head -20
- admin
+root
-oracle
+ admin
  ubnt
  test
-teamspeak
+user
-git
+support
-minecraft
+pi
-teamspeak3
+wordpress
-ftp
+oracle
-nagios
+guest
-user
+aaron
-deploy
+a
-jenkins
+nmis
-support
+agsadmin
-wordpress
+ftpuser
-hadoop
+D-Link
-pi
+vagrant
-guest
+cisco
-demo
+PlcmSpIp
-ts
+postgres
 </code>
@@ 行 43: / 行 45: @@
 ^順位^sshd不正アクセスユーザ名^件数^
-|1|admin|373|
+|1|root|485|
-|2|oracle|183|
+|2|admin|150|
-|3|ubnt|176|
+|3|ubnt|106|
-|4|test|147|
+|4|test|47|
-|5|teamspeak|121|
+|5|user|28|
-|6|git|112|
+|6|support|26|
-|7|minecraft|98|
+|7|pi|20|
-|8|teamspeak3|92|
+|8|wordpress|18|
-|9|ftp|90|
+|9|oracle|13|
-|10|nagios|82|
+|10|guest|11|
-|11|user|81|
+|11|aaron|11|
-|12|deploy|70|
+|12|a|11|
-|13|jenkins|62|
+|13|nmis|8|
-|14|support|61|
+|14|agsadmin|7|
-|15|wordpress|58|
+|15|ftpuser|6|
-|16|hadoop|58|
+|16|D-Link|6|
-|17|pi|56|
+|17|vagrant|5|
-|18|guest|55|
+|18|cisco|5|
-|19|demo|55|
+|19|PlcmSpIp|5|
-|20|ts|54|
+|20|postgres|4|
-|-|合計|2084|
-上位20位の合計件数で，全体の約84%にあたる．
+root は UNIX系OSの管理者アカウント名で，数としてはダントツといえる．
 admin ユーザ，いわゆる管理者ユーザ名として "admin" と言う名称を用いるのは想像に難しくない．
@@ 行 71: / 行 72: @@
 興味深い点としては，第3位の "ubnt" ユーザ名である．
-私はてっきり Linux ディストリビューションの ubuntu の略かと思ったのだが，"ubnt ssh server" で検索すると，どうも異なるようだ．
+私はてっきり Linux ディストリビューションの ubuntu の略かと思ったのだが，“ubnt ssh server” で検索すると，どうも異なるようだ．
-他，目立つものとしては，"oracle","teamspeak","git","minecraft","wordpress" と言うように，ソフトの名前がそのままユーザ名として扱われている．
+位にあるユーザ名 "pi" は，Raspberry pi 向け Linux ディストリビューションの一つである Raspbian の標準ユーザ名が "pi" であり，それが狙われていると思える．
+Raspbian の "pi" ユーザ名は，標準のパスワードは "raspberry" なので，特に何もケアせずに Raspberry pi で Raspbian イメージを動かしてインターネットから見える所に置くと，即不正アクセスされるだろう．
-これも，これらのサーバを稼働させる時に，非rootで稼働させたいが，良いユーザ名が思いつかない時に，安易にソフト名をユーザ名にするのは想像に難しくないので，そのようなユーザ名が狙われているのだろう．
+"D-Link" や "cisco" はネットワーク機器への進入を試みようとしていると思える．
-あるいは，何らかの設定テンプレートにあるユーザ名をそのまま使っているのかも知れない．
-位にあるユーザ名 "pi" は，Raspberry pi 向け Linux ディストリビューションの一つである Raspbian の標準ユーザ名が "pi" であり，それが狙われていると思える．
+位の "PlcmSpIp" は，何のユーザ名なのかは分からなかったが，どうも Polycom 製品で使われているユーザ名のようだ．
-Raspbian の "pi" ユーザ名は，標準のパスワードは "raspberry" なので，特に何もケアせずに Raspberry pi で Raspbian イメージを動かしてインターネットから見える所に置くと，即不正アクセスされるだろう．
 ====== 対策 ======
@@ 行 85: / 行 85: @@
 まず，当然のこととして，インターネットから見える所で sshd を動かしているならば，sshd への認証は公開鍵暗号方式のみとするのが良いだろう．
-管理者アカウント(それこそ admin)を複数名でログインして作業する必要がある場合は，作業者ごとに ssh 鍵ペアを作成し，公開鍵を authorized_keys に登録すればよいだろう．
+とは言うものの，公開鍵がない場合のバックアップ手段としてパスワード認証を使いたい場合や，私のようにズボラな人間(!!)がパスワード認証を使いたい場合がある．
-そうすれば，もし誰かの作業者の秘密鍵が流出したとしても，その作業者の公開鍵のみを authorized_keys から消してしまえば，他の作業者の鍵はそのまま使える．パスワードを変える必要もない．
+その様な場合は，あまり安直なユーザ名を用いないほうが良いだろう．
+root は，とにかくリモートからの ssh は出来ないようにしておいたほうが良い．
+ソフト名をユーザ名にするのは，そのソフトの標準の設定もあるかも知れないが，変更可能ならば変更しておいたほうが良いだろう．
+また，昨今は Raspberry pi の様な小型 Linux-BOX を IoT 機器として運用するケースもある．その様な場合は，ディストリビューション標準のユーザ名は基本的に使わないほうが良いだろうし，いっそ，そのユーザ名は削除したほうが良いかもしれない．
+ネットワーク機器は，標準出荷時設定のユーザ名のまま使うのは避けたほうが良いだろう．
+「サーバが狙われる」のではなく，IoT機器でも何でも，ssh でリモートログインできそうな機械は，なんでも狙われると考えたほうが良いだろう．
-とは言うものの，公開鍵がない場合のバックアップ手段としてパスワード認証を使いたい場合や，私のようにズボラな人間(!!)がパスワード認証を使いたい場合がある．
-その様な場合は，あまり安直なユーザ名を用いないほうが良いだろう．管理者アカウントを複数名で使う場合は，まず各自のユーザ名でログインして，それから su コマンドなどで管理者アカウントになれば良い．
+~~DISCUSSION:off~~

tosihisa's public notebook

ユーザ用ツール

サイト用ツール

差分

ページ用ツール