OpenSSH 情報

2007/06/08 - [Security][OpenSSH] ログを監視しブルートフォースアタックを防ぐツール(DenyHosts, BlockHosts, Fail2Ban)に任意のIPアドレスを拒否させることができる脆弱性

Attacking Log analysis tools - OSSEC HIDSによると, SSHが記録するログをモニタして不正なアクセスを繰り返すIPアドレスからの接続を拒否するツール

に以下の問題があります. (おそらく, 同様のツールには同じような問題があるでしょう.)

  1. OpenSSHのログには, ユーザ名やプロトコルのバージョンが攻撃者の指定通りに書き込まれるので, 攻撃者がある程度自由にログを挿入することが可能である
  2. これを利用して, ログを監視するツールをだまして, 任意のIPアドレスを拒否ヒストに加えさせることができる.

とりあえず, 個人的にDenyHostsを利用しているホストでは, /etc/hosts.allowに信頼できるIPアドレスを追加しておきました. そのIPアドレスが/etc/hosts.denyに書き込まれても, アクセス可能です.

Attacking Log analysis tools - OSSEC HIDSによると, SSHが記録するログをモニタして不正なアクセスを繰り返すIPアドレスからの接続を拒否するツール

に以下の問題があります. (おそらく, 同様のツールには同じような問題があるでしょう.)

  1. OpenSSHのログには, ユーザ名やプロトコルのバージョンが攻撃者の指定通りに書き込まれるので, 攻撃者がある程度自由にログを挿入することが可能である
  2. これを利用して, ログを監視するツールをだまして, 任意のIPアドレスを拒否ヒストに加えさせることができる.

とりあえず, 個人的にDenyHostsを利用しているホストでは, /etc/hosts.allowに信頼できるIPアドレスを追加しておきました. そのIPアドレスが/etc/hosts.denyに書き込まれても, アクセス可能です.