不正アクセスとログ分析

今日は不正アクセスとログ分析について。

ほぼ毎日、下記のような不正アクセスが公開サーバーを持つとずうっと続くことになります。

sshd[11111]: Invalid user root from x.x.x.x
sshd[11112]: User root from x.x.x.x not allowed because not listed in AllowUsers

pop3[1111]: badlogin:[x.x.x.x] plaintext root SASL(-13): authentication failure: checkpass failed
imap[11959]: badlogin: [x.x.x.x] plaintext root SASL(-13): authentication failure: checkpass failed

sshはグローバルからアクセスできないようにすれば不正アクセスは防げるけれども、管理の面からないと不便。
VPN経由のローカルアドレスという手もありますが、VPNサービス自体が止まってしまったら、どうしようもできない。
なので、弊社の場合、hodsts.allowやallowusersで制限をかけて、アクセスできるようにしてある。
ただし、１台に留めておき、普通はすべてVPN経由のアクセスとなる。
他の手としては、LiLO経由やASUSのiKVM経由という手もありますけど。
どちらにしろ、グローバルアドレスを割り当てておかないと、リモートから電源入れたり、切ったりは難しい。
大体、これで、24時間、海外にいてもサポート可能です。
（リアルタイムはなかなか難しいですが、一部例外はあるにしても数時間以内には大抵、対処できると思います。
飛行機や乗り物に乗っているときは通信が不安定な場合が多く、すぐには対処できないので、携帯に留守電を残しておくという手が一番確実です。）

popやimapなどのメールの場合、受信系にはグローバルからのアクセス禁止という手もありますし、送信系もローカルのみという手もあります。
その場合もVPNサーバー経由というのが手っ取り早いと思います。

これらのメッセージはsyslogサーバー（ローカルアドレスのもの）に一か所に集約して、検索しやすくしておくといいと思います。
わざわざ、都度メールを飛ばす必要はないと思いますが、想定外のIPアドレスからのアクセスの場合はメールを飛ばすことも可能です。

また、VPNのアクセスは別建てにして、
OpenVPN CLIENT LIST
Updated,Fri May 20 10:00:38 2011
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
niriakot-note,x.x.x.x:59099,22716,24175,Fri May 20 09:03:11 2011
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
192.168.200.100,niriakot-note,x.x.x.x:59099,Fri May 20 09:05:22 2011
GLOBAL STATS
Max bcast/mcast queue length,0
END
こんなステータスを1分おきに記録しています。

ログを記録し、改ざんできないようにすることで、セキュリティ対策の第一歩を進んでください。

LinuxからWindowsなどのサーバー構築や運用、セキュリティ対策のご相談、御用命は
webmaster@niriakot.jp
まで
24時間以内にご返事差し上げます。
なお、守備範囲はワールドワイドです。
リモート運用から出張修理、解析承ります。

ではでは、また。