同人ゲーム・イラストなど
セキュリティ インフラ
公開サーバでsshポートが丸出しだとすぐ不正なログインを試みる攻撃が来るので危険ということはよく知られているが、実際にはどれぐらいの頻度で 来るのだろうか? ちゃんと調べたことがなかったが、手持ちのサーバのfail2banのログを見たらわかったので注意喚起もかねてメモする。 なお今のところサーバへの不正なログインに成功した様子はないため、安心してみていただきたい(笑。
さくらインターネットのVPSで外部からのリンクはなし・立ててから2年ほどのサーバで約1か月弱(2025/02/25 -- 03/19) の期間に38万のログイン試行があった。 ログイン失敗が10分間に同一アクセス元IPアドレスから続くとfail2banによりアクセス禁止措置が取られる運用となっており、 これにより3300アドレスがBANされた。 BANの発生はアクセス試行の100回に1回程度となっている。想像より低いBAN率であるが、もしかすると リバースブルートフォース的にどこかから流出したパスワードを固定的に使用しつつIPアドレスの方を走査しているか、 あるいはBANされない低速度でログイン試行をしているのかもしれない。 どちらにしてもこのサーバ自体への攻撃の効率を低下させる効果は出ているとみてもよい。 仮にパスワード認証が可能な設定がされていても、この速度のアクセス試行では十分に強いパスワードはブルートフォースで突破はできないだろう。
$ systemctl status fail2ban
● fail2ban.service - Fail2Ban Service
Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; enabled; preset: enabled)
Active: active (running) since Tue 2025-02-25 06:57:03 JST; 2 weeks 5 days ago
Docs: man:fail2ban(1)
Main PID: 2221008 (fail2ban-server)
Tasks: 5 (limit: 2275)
Memory: 26.8M (peak: 75.7M)
CPU: 40min 6.311s
CGroup: /system.slice/fail2ban.service
└─2221008 /usr/bin/python3 /usr/bin/fail2ban-server -xf start
Feb 25 06:57:03 [server name] systemd[1]: Started fail2ban.service - Fail2Ban Service.
Feb 25 06:57:03 [server name] fail2ban-server[2221008]: 2025-02-25 06:57:03,181 fail2ban.configreader [2221008]: WARNING '>Feb 25 06:57:03 [server name] fail2ban-server[2221008]: Server ready
$ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 380394
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 3
|- Total banned: 3373
`- Banned IP list: [IPAddr1] [IPAddr2] [IPAddr3]
