openssh brute force 対策
未だにbrute forceネタが取り上げられてる事が多いので。
根本的解決になってないけど、以下のパッチ当ててlibsshを弾いておくと
大体のscannerはお帰り頂ける様です。多分最近のバージョンにも当たるはず。
Greetingを変更すれば突破できるけど、わざわざ変えて狙ってくるのも
殆ど居ない模様。まあ、変に対策してるところを攻略するより弱いところ
崩したほうが楽だしね。
--- openssh-3.7.1p2-orig/compat.c 2003-09-02 21:52:00.000000000 +0900 +++ openssh-3.7.1p2/compat.c 2005-08-22 18:49:48.811296000 +0900 @@ -153,6 +153,8 @@ SSH_BUG_SCANNER }, { "Probe-*", SSH_BUG_PROBE }, + { "libssh-*", + SSH_BUG_PROBE }, { NULL, 0 } };
ログとパケットフィルタで頑張って弾く様なのが多いみたいだけど
こっちの方が楽なんじゃないかと個人的には思ったり。
更にお手軽に出来るのは以下くらい。こっちの方が確実。
- PasswordAuthentication noにする
- libwrapでアクセス元を縛る