カテゴリー
Linux

【DenyHosts】sshd 再起動で接続拒否以上の遮断ができるか?できませんでした><

ポイント

  • sshd を再起動しても、「 Refused incoming connections」の接続をさらに拒否することはできなかった

はじめに

Logwacth からの配信メールを見てみますと、DenyHosts によって hosts.deny に登録された IP から sshd 接続をたくさん拒否したよ!というメッセージがございました。

 --------------------- SSHD Begin ------------------------



 Received disconnect:
    11: disconnected by user
       121.102.27.141 : 1 Time(s)

 Refused incoming connections:
       106.185.49.171 (106.185.49.171): 1107 Time(s)

 ---------------------- SSHD End -------------------------

拒否しているとはいえ、1107回も拒否しておりますの。

この「 Refused incoming connections」以上の拒否、ログにも残らなくなるような強力なことってできるかしら?

思いつくのは sshd の再起動のみでしたので、はっきりさせたいと思い、やってみましたの♪

カテゴリー
Linux

【DenyHosts】拒否リストに自動登録したメールが届いたので設定ファイルやログで確認いたしました♪

DenyHosts から SSHD アクセスに失敗した IP アドレスを拒否リストに自動登録したよ!というメールをいただきました♪

実際にどのような様子なのか、ノートしたいと存じます♪

拒否されたことを確認するポイント

  • /etc/hosts.deny に拒否した IP アドレスが記述されている
  • /var/log/secure に refused connect from 111.111.111.111 などと IP アドレスからの接続を拒否するログが残っている

最初に、/etc/hosts.deny に IP アドレスを登録したよ!というメールが DenyHosts から届きました

タイトル DenyHosts Report from oki2a24.com

本文

Added the following hosts to /etc/hosts.deny:

106.185.49.171 (li764-171.members.linode.com)

日付は、2014年12月4日 18:06 でした。

 Logwatch メールにも、攻撃とブロックの痕跡がございました♪

カテゴリー
Linux

denyhosts が動いていない。→再起動だ!→再起動できない><。を何とかしました。

何とかした方法

  • ログを確認
  • 再起動コマンドではなく、停止 → 起動、で解決

具体的な denyhosts が再起動できなかった症状

カテゴリー
Linux

【DenyHosts】自動で攻撃者の IP アドレスを拒否リストに登録する設定を試しましたの♪★シンクロナイゼーション・モード★

DenyHosts自動同期モードをオンにする最も簡単な方法

まずはバックアップですの。

cp -a /etc/denyhosts.conf /etc/denyhosts.conf.131212

設定ファイルの編集をいたしますわ。

vim /etc/denyhosts.conf

次のコメント 1 ヵ所を外すだけですわ。そして SYNC_SERVER に http://xmlrpc.denyhosts.net:9911 を指定いたしますの♪

SYNC_SERVER = http://xmlrpc.denyhosts.net:9911

これによってシンクロナイゼーション・モードが有効となり、次回起動時から働き始めるとのことですの。

カテゴリー
Linux

denyhosts の拒否記録をリセットする方法【CentOS 5】

denyhosts が記録してきたログインのデータをリセットするコマンド

\cp -f /dev/null /var/lib/denyhosts/hosts
\cp -f /dev/null /var/lib/denyhosts/hosts-restricted 
\cp -f /dev/null /var/lib/denyhosts/hosts-root       
\cp -f /dev/null /var/lib/denyhosts/hosts-valid 
\cp -f /dev/null /var/lib/denyhosts/users-hosts 
\cp -f /dev/null /var/lib/denyhosts/users-invalid 
\cp -f /dev/null /var/lib/denyhosts/users-valid

以上のコマンドで記録をリセットした後、/etc/hosts.deny の情報を削除して denyhosts を再起動し、登録されてほしくないホストが hosts.deny に書き込まれないことを確認した、というように使用いたしました。

カテゴリー
Linux

denyhosts が優秀すぎて自分の ssh 接続がはじき出されたので、何とか接続しなおせるようにがんばりました!

やっちまいました。。。ftp も使えるようにしようとあれこれやっていたら、違和感。即、ssh 接続を試みたら、やっぱり。接続できません。denyhosts に締め出されたようです。