<SSHが記録するログをモニタして.. ログを監視しブルートフォースア..> メイン

OpenSSH 情報

[Security][OpenSSH] ログを監視しブルートフォースアタックを防ぐツール(DenyHosts, BlockHosts, Fail2Ban)に任意のIPアドレスを拒否させることができる脆弱性

2007年06月07日 09:53更新

Attacking Log analysis tools - OSSEC HIDSによると, SSHが記録するログをモニタして不正なアクセスを繰り返すIPアドレスからの接続を拒否するツール

に以下の問題があります. (おそらく, 同様のツールには同じような問題があるでしょう.)

  1. OpenSSHのログには, ユーザ名やプロトコルのバージョンが攻撃者の指定通りに書き込まれるので, 攻撃者がある程度自由にログを挿入することが可能である
  2. これを利用して, ログを監視するツールをだまして, 任意のIPアドレスを拒否ヒストに加えさせることができる.

とりあえず, 個人的にDenyHostsを利用しているホストでは, /etc/hosts.allowに信頼できるIPアドレスを追加しておきました. そのIPアドレスが/etc/hosts.denyに書き込まれても, アクセス可能です.

Attacking Log analysis tools - OSSEC HIDSによると, SSHが記録するログをモニタして不正なアクセスを繰り返すIPアドレスからの接続を拒否するツール

に以下の問題があります. (おそらく, 同様のツールには同じような問題があるでしょう.)

  1. OpenSSHのログには, ユーザ名やプロトコルのバージョンが攻撃者の指定通りに書き込まれるので, 攻撃者がある程度自由にログを挿入することが可能である
  2. これを利用して, ログを監視するツールをだまして, 任意のIPアドレスを拒否ヒストに加えさせることができる.

とりあえず, 個人的にDenyHostsを利用しているホストでは, /etc/hosts.allowに信頼できるIPアドレスを追加しておきました. そのIPアドレスが/etc/hosts.denyに書き込まれても, アクセス可能です.

[コメントを投稿する]
コメントを投稿してください。E-mailアドレスは公開されません。
名前:
E-mail:
コメント:
[TrackBack URL: http://www.unixuser.org/~haruyama/security/openssh/tb.rb/20070608]
編集
文責:春山 征吾 (HARUYAMA Seigo) email: haruyama@unixuser.org
Generated by tDiary version 2.0.4
Powered by Ruby version 1.8.6