Centos7 firewalldでアクセス拒否

たまたま自サイトのアクセスログを見るとある特定のIPアドレスから繰り返しsshにてルートログインを試みているのが見つかる。このため以下の処置を施した。

1.ルートログインの拒否

#vi /etc/ssh/sshd_configにてrootログインを拒否

 48 #LoginGraceTime 2m
 49 PermitRootLogin no
 50 #StrictModes yes
 51 #MaxAuthTries 6

2.特定サイトからのアクセスを拒否

また、APNICでIPアドレスがどこの国のどこの組織に属しているのか。
さらに、そのIPがどのIPアドレスのグループに属しているのかを調べる。
http://wq.apnic.net/whois-search/static/search.html 

その結果が次のように表示された場合:

Information related to '183.0.0.0 - 183.63.255.255'
# firewallで指定CIDRを拒否
firewall-cmd --zone=drop --permanent --add-source=183.0.0.0/16
# 再起動
systemctl restart firewalld.service

ついでにlogwatchも導入してアクセス状況を見てみたところchina系の2社のアクセスがずば抜けて多い(ー_ー#

 sshd: Authentication Failures: root (183.3.202.178): 23386 Time(s) 
 root (59.47.5.238): 11843 Time(s)

Add a Comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

RSS
Follow by Email