初めてサーバを用意したときの話
この記事は 茨大 Advent Calendar 2020 9日目の記事です。adventar.org
こんにちは。きたくです。情報工4年です。
サーバに詳しくない人がサーバを用意したら、知らない人がsshでアクセスしようとしていたときの話をかきます。
ログイン試行されるまで
この話は「サーバ用意して何かしたいな~、遊びたいな~」という思いつきから始まります。遊ぶためにサーバを準備したいわけですが、新しくマシンを買うほどではないかな と考えています。じゃあどうするのって話になるのですが、VPSを利用することにしました。電力とか設置場所とかを考えなくていいので楽できそうですよね。
ということで、まずどのようなVPSサービスがあるのかを調べました。いくつか見つけましたが、GMOの提供しているConoHaを選びました(選んだ理由は忘れました)。
アカウントを作って、支払情報を登録して、いろいろクリックしていくとVPSが使えるようになりました。やったね、これでサーバで遊べます!
3,800回ログイン試行されたサーバ
VPSを用意した日はsshでログイン(パスワード認証)できることを確認して寝ました。
2日後に再度ログインすると、サーバから「3,800回ログインに失敗してるよ」とお知らせがありました。パスワード認証を有効にして2日放置した結果、知らない人がログインしようとしてきたのです。
ログを見る
とりあえずログインエラーの履歴を見てみました。履歴からは
- ログインしようとした人のIPアドレス
- ログインに利用したユーザ名
の情報がわかります。
IPアドレスについては、それがどの国の管轄であるのかを調べるツールを見つけました。使ってみたところ、攻撃の95%(3,600/3,800)はC国からでした。次に多かったのは2%(100/3,800)でV国でした。
ログイン時のユーザ名は、rootが95%(3,600/3,800)、adminが2%(100/3,800)でした。このほかにはuser、guest、testなどがありました。
対策したこと
知らない人からアクセスされるのは気持ち悪いので、何か対策できることはないかと思いググりました。その結果、
- sshのポート番号の変更
- rootのログイン禁止
- パスワードでのログイン禁止
- 公開鍵認証方式の利用
この4つを試してみました。
効果
「最後のログインの前にN回ログインに失敗しました」という表示を見なくなりました。対策が有効だったようです。
さいごに
「対策したこと」の4つは新しくサーバを用意したときにはやっておくべきことらしいです。知らなかったのでいい勉強になりました。