- ベストアンサー
自宅サーバへの不正アクセスの可能性と初心者向けネットワークセキュリティの良書について
- 自宅サーバを立てている初心者ですが、sshでの不正アクセスの可能性があるか心配です。
- netstatコマンドで確認したら、自分以外のIPアドレスからESTABLISHED状態で接続されている行がありました。
- ネットワークセキュリティについて初心者向けの良書を教えていただけると助かります。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
SHはともかく、TCPの状態遷移やnetstatの応答をちゃんと理解しないで回答している人がいるようですが........... ESTABLISHEDはすでにTCPのセッションが確立している状態です http://www.atmarkit.co.jp/fwin2k/network/baswinlan016/baswinlan016_03.html ただ単にsshdが動いている状態であれば、 tcp4 0 0 *.22 *.* LISTEN tcp6 0 0 *.22 *.* LISTEN のようにLISTENの状態になります (うちのサーバはIPv6も動かしているのでtcp6も表示されますが) TCPのセッションが張られていて、パスワード認証が許可されていればアカウント/passwordが入力できる状態です > 私以外の者が、自宅サーバに入っているということでしょうか? それなりに送信queueの値も増えていますから、辞書攻撃等を受けていてもおかしくない状態かと まずはすぐsyslogを確認して、辞書攻撃を受けていなかったか確認しましょう 外部に22/TCPを開けていると、毎日最低数回はお客さんが来ますよ 特に外国からが多いので、うちでは自分が使うプロバイダからのIPアドレス以外は22/TCPをルータで落とすようにしています (22/TCPのrejectログはルータからサーバにsyslogで転送するようにしている)
その他の回答 (1)
SSHサービスには詳しくないのですが。 違うと思います。 Netstatは、生きているポートをしめすもので、稼動中サービスを 示すだけなので、そこでEstablishedは「動いている」という 意味にしかなりません。 各サービスがハッキングされるというのは ・サービスが動いている ・TCP/IPセッションに繋がれている ・そのサービスプロトコルでアクセスされている ・そのサービスにログインされている ことを言いますので、ちょっとよそから突っつかれるレベルは ハッキングと言いません。 実際にハッキングされているかどうかは、sshのログと、 ファイアウォールのログあたりを見ないとわからないと おもいます。
お礼
早速の回答ありがとうございます。 ハッキングの具体例を教えていただきまして勉強になりました。 いずれにせよ、セキュリティをやらなければ他人に迷惑をかけてしまいますよね
お礼
アドバイスありがとうございます。 syslogの確認してみます。 私の使用ルータには、そのような便利な機能がないので、Linuxサーバ自身にパケットフィルタをかけることになると思います。 それとも、774dangerさんはご自分でルータを作ったのでしょうか。 とりあえず、私はiptablesの習得をしなければいけませんね。