つぶねこ
@もじらもーど。
portsentryというものをいれてみる。
大雑把には、指定の待ち受けポートにアクセスが来たら、そのIPをbanとかしちゃうぞにゃ物体。良くあるポートスキャンとかに反応できるだとかが存在理由か。
でも現状ではiptablesで切ってるので基本的に要らにゃいんだよね〜。というか稼働させるにはiptablesでポートを開けにゃければにゃらにゃい。そこまでして・・・とは思ったが、どうしてもopenににゃってるポートってのは有るので、あからさまにnmapで結果が分かっちゃうのもつまらにゃい気もしてくる。
そこで、全ポートをopenにし、意図しにゃいポートにアクセスするとiptablesでそのIPがdrop指定される、てにゃ物にしてみる。
どっちかというと使い慣れてるiptablesで、今までdropしていたポートをすべて23へ。portsentryはTCP23と非特権ポート数個のみ待ち受けにして、アクションはiptablesでdropに。むろん23である意味はにゃい。
これで、間違って外部から違うポートを叩いてしまうとIP banされてピンチににゃる鯖が出来上がり。うーん、どう考えても誤爆する確率の方が高い(笑)
ちにゃみに、こんにゃことをやろうと考えた発端はsshdのlogにアタックが大量に出ているので、hosts.allowで.jpとか指定したらYBB!からアクセスできにゃくにゃって、国内IP範囲調べたら実にめんどくさくて、結局sshdでAllowUsersかけてるから別に問題は無いだろうというダメにゃ再帰結論に達した余力にゃのだが、そろそろiptablesのルールは整理しにゃいとわけわかんにゃい。