弊社は自社サーバーで運用しているのですが、ログを見ると、ひっきりなしに不正アクセスがおこなわれています。
以下は、とある日のSSH不正ログイン時のログです。
$ sudo grep -r "Jul 6" /var/log/secure.2 | grep "Invalid user" | wc -l 236
1日で236件の不正アクセスがあります。多いときは1,000件を超えます。
以下は、とある日のメール不正ログイン時のログです。
$ sudo grep -r "Jun 28" /var/log/secure.3 | grep "authentication failure" | wc -l 925
1日で925件の不正アクセスがあります。多いときは2,000件を超えます。
うちのような零細ドメインでもこれですから、少し大きなドメインになると、びっくりするくらいの膨大な不正アクセスにさらされています。
弊社のサーバーは、SSHは平文パスワードのログインは不可として、鍵認証ログインのみに制限しています。
メールサーバーもTLSで暗号化して外部から傍受できないようにして、逆引きできないIPもブロックしたり、中継サーバーに利用されないよう、IPの制限をおこなったりしています。
また、ファイアウォールで特定のポート以外はすべて閉じて、不正アクセスを自動でブロックするツール(Fail2ban)を導入する等の対策をしています。
だからといって安心できるわけではなく、「FREAK」や「HeartBreed」などの新しい攻撃手法により、日々セキュリティホールが発覚するため、サーバー管理者は常日頃からの脆弱性対策が求められます。
最近は不正アクセスによる情報漏えいも多いので、しっかりと予防していくことが重要ですね。
- Fail2ban – ArchWiki
Fail2ban は様々なテキストのログファイルをスキャンして、何度もパスワード認証を失敗している IP アドレスを拒否…