tosihisa's public notebook

ユーザ用ツール

サイト用ツール

現在位置: start » sshサーバへの不正アクセスユーザ名の傾向と対策(2015年11月)
トレース:
sshd_invaliduser_201511

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

両方とも前のリビジョン前のリビジョン
次のリビジョン		前のリビジョン
sshd_invaliduser_201511 [2015-11-14 16:16] tosihisa@netfort.gr.jpsshd_invaliduser_201511 [2017-03-19 13:40] (現在) – 状態が変更されました tosihisa@netfort.gr.jp
行 16: 行 16:
 ===== sshdへの不正アクセスユーザ名上位20位 ===== ===== sshdへの不正アクセスユーザ名上位20位 =====
  
-「sshd への不正アクセス」は,「パスワード認証に失敗したユーザ」として調べる.上記の何種類のユーザ名かの調べ方とは少し異なるので注意.+「sshd への不正アクセス」は,当初は上記と同じ方法で調べたが,その場合は root 等の様な存在するユーザ名に対しての情報は得られなかったので,「パスワード認証に失敗したユーザ」として調べる.上記の何種類のユーザ名かの調べ方とは少し異なるので注意.
  
 <code> <code>
行 66: 行 66:
 |20|postgres|4| |20|postgres|4|
  
 +root は UNIX系OSの管理者アカウント名で,数としてはダントツといえる.
  
 admin ユーザ,いわゆる管理者ユーザ名として "admin" と言う名称を用いるのは想像に難しくない. admin ユーザ,いわゆる管理者ユーザ名として "admin" と言う名称を用いるのは想像に難しくない.
行 71: 行 72:
 興味深い点としては,第3位の "ubnt" ユーザ名である. 興味深い点としては,第3位の "ubnt" ユーザ名である.
  
-私はてっきり Linux ディストリビューションの ubuntu の略かと思ったのだが,"ubnt ssh serverで検索すると,どうも異なるようだ.+私はてっきり Linux ディストリビューションの ubuntu の略かと思ったのだが,ubnt ssh server” で検索すると,どうも異なるようだ.
  
-他,目立つものとしては,"oracle","teamspeak","git","minecraft","wordpress" と言うようにソフトの名がそのままユーザ名して扱わている.+7位にあるユーザ名 "piRaspberry pi 向け Linux ディスリビューション一つである Raspbian の標準ユーザ名が "pi" であり,れが狙われていると思える. 
 +Raspbian の "pi" ユーザ名は,標準のパスワードは "raspberry" なので,特に何もケアせずに Raspberry pi で Raspbian イメージを動かしてインターネットから見える所に置くと,即不正アクセスされるだろう
  
-これも,これらのサーバを稼働させる時に,非rootで稼働させたいが,良いユーザ名が思いつかない時に,安易にソフ名をユザ名にするのは想像に難しくないので,そのようなユーザ名が狙われているのだろう. +"D-Link" や "cisco" はネック機器へ進入を試みようとしていると思える.
-いは,何らかの設定テンプレートにあるユーザ名をそのまま使っているのかも知れない+
  
-17にあるユーザ名 "pi" は,Raspberry pi 向け Linux ディストリビューションの一つである Raspbian 標準ユーザ名が "pi" あり,それが狙われていると思える. +19の "PlcmSpIp" は,のユーザ名なのかは分からなかった,どうも Polycom 製品使われているユーザ名のようだ.
-Raspbian の "pi" ユーザ名は,標準パスワードは "raspberry" なので,特に何もケアせずに Raspberry pi で Raspbian イメージを動かしてインターネットから見える所に置くと,即不正アクセスされるろう+
  
 ====== 対策 ====== ====== 対策 ======
行 87: 行 87:
 とは言うものの,公開鍵がない場合のバックアップ手段としてパスワード認証を使いたい場合や,私のようにズボラな人間(!!)がパスワード認証を使いたい場合がある. とは言うものの,公開鍵がない場合のバックアップ手段としてパスワード認証を使いたい場合や,私のようにズボラな人間(!!)がパスワード認証を使いたい場合がある.
  
-その様な場合は,あまり安直なユーザ名を用いないほうが良いだろう.管理者アカウントを複数名で使う場合は,まず各自のユザ名でログインして,それから su コマンドどで管理者アカウントなれば良い.+その様な場合は,あまり安直なユーザ名を用いないほうが良いだろう. 
 + 
 +root は,とにかくリモからの ssh は出来いようしておいたほうが良い.
  
 ソフト名をユーザ名にするのは,そのソフトの標準の設定もあるかも知れないが,変更可能ならば変更しておいたほうが良いだろう. ソフト名をユーザ名にするのは,そのソフトの標準の設定もあるかも知れないが,変更可能ならば変更しておいたほうが良いだろう.
行 93: 行 95:
 また,昨今は Raspberry pi の様な小型 Linux-BOX を IoT 機器として運用するケースもある.その様な場合は,ディストリビューション標準のユーザ名は基本的に使わないほうが良いだろうし,いっそ,そのユーザ名は削除したほうが良いかもしれない. また,昨今は Raspberry pi の様な小型 Linux-BOX を IoT 機器として運用するケースもある.その様な場合は,ディストリビューション標準のユーザ名は基本的に使わないほうが良いだろうし,いっそ,そのユーザ名は削除したほうが良いかもしれない.
  
 +ネットワーク機器は,標準出荷時設定のユーザ名のまま使うのは避けたほうが良いだろう.
 +
 +「サーバが狙われる」のではなく,IoT機器でも何でも,ssh でリモートログインできそうな機械は,なんでも狙われると考えたほうが良いだろう.
 +
 +
 +~~DISCUSSION:off~~
  
sshd_invaliduser_201511.1447517796.txt.gz · 最終更新: 2015-11-14 16:16 by tosihisa@netfort.gr.jp