仮想サーバーに、以前からの懸案だった、iptablesコマンドでパケットフィルタを設定した(サーバーを使用開始する時に、ufwコマンドで設定しようとしたのだが、なぜかうまく動かなかったため、後回しにしていた)。だが、結果としては余り意味のないものだった。

というのは、使っているOSはデフォルトですべてのポートが閉じられているのと、使っている仮想サーバーの制約なのか、「あるポートに一定頻度以上のアクセスがあったら、拒否する」というルール(hashlimit)が設定できなかったからである。

ただ、後者に関して、そもそもsshは鍵がなければログインできない設定にしてあるので、総当たり攻撃によるログインは不可能なので、その設定はなくても良い(あれば、DOS攻撃は防げるのだが)。

まあ、意図しない開きポートが保護されるようになったということと、少しiptablesの勉強になったので、良しとする。

PS. 良く考えたら、カレンダーや住所録サーバーへの総当たり攻撃を防ぐには、hashlimitルールが有用な気がして来た。これを機に、仮想サーバーを乗り換えようかな。(9:30)

試したところ、カレンダーや住所録サーバーへの総当たり攻撃は防げないようだ。認証に失敗しても、HTTPのコネクションが切れないためだ。残念。これに関しては、別な手を考えよう。(21:15)

  •   0
  •   0

コメントを書く

名前    

メール 

URL