稼働ログから確認できるセキュリティ上の主な懸念点と、それに対する提案は以下の通りです。
セキュリティ上の懸念点
1. 外部からの root ユーザーによる不正ログイン試行
- 該当ログ:
Jan 20 23:27:19 growi_host sshd[977868]: Connection closed by authenticating user root 165.245.***.*** port 38460 [preauth] - 分析: 外部IPアドレス
165.245.***.***から、管理者権限を持つrootユーザーでのログイン試行があり、認証前に接続が切断されています。これは、一般的にサーバーへの不正アクセスを目的としたブルートフォースアタック(総当たり攻撃)の一環である可能性が非常に高いです。
2. 不審な接続のプローブ(調査行為)
- 該当ログ:
Jan 20 23:26:59 growi_host sshd[977745]: error: kex_exchange_identification: Connection closed by remote hostJan 20 23:26:59 growi_host sshd[977745]: Connection closed by 165.245.***.*** port 51194 - 分析:
rootログイン試行の直前に、同じIPアドレス165.245.***.***から接続が確立後すぐに切断されるログが確認されています。これは、攻撃者がポートの状態やSSHサーバーのバージョンなどを調査するスキャニング行為である可能性が考えられます。
セキュリティ強化のための提案
上記の懸念点に対応し、サーバーのセキュリティを強化するために、以下の対策を推奨します。
rootユーザーの直接ログイン禁止- SSH設定ファイル(
/etc/ssh/sshd_config)にて、PermitRootLogin noを設定し、rootユーザーによる直接ログインを完全に禁止してください。管理者作業は、一般ユーザーでログイン後、suまたはsudoコマンドを使用すべきです。
- SSH設定ファイル(
- ブルートフォース対策の導入
Fail2banなどの侵入検知・防止システムを導入し、一定回数以上のログイン試行に失敗したIPアドレスを自動的にファイアウォールでブロックするように設定してください。
- ファイアウォールの設定強化
- 不要なポートが外部に公開されていないか確認し、必要最小限のポートのみを開放するようにファイアウォール(
iptablesやufwなど)を設定してください。
- 不要なポートが外部に公開されていないか確認し、必要最小限のポートのみを開放するようにファイアウォール(
- 鍵認証の徹底
- ログから
debianユーザーは公開鍵認証を使用していることが確認できますが、パスワード認証を許可している場合は、それを無効化し、鍵認証のみにすることを推奨します。
- ログから
- 不審なIPアドレスのブロック
- 不正アクセスを試行している
165.245.***.***などの不審なIPアドレスを、ファイアウォールで明示的にブロックすることを検討してください。
- 不正アクセスを試行している