Redhat8.0 : vsftpdの攻撃対策
2003.03.23
手順
vsftpd.confで「deny_email_enable=YES」を設定し,/etc/vsftpd.banned_emailsに拒絶するAnonymous ftpのパスワード(要するにEMailアドレス)を設定することで,ツールなどを使用したftpサーバへの攻撃をさけることが出来ます。
□ vsftpd.conf
/etc/vsftpd.conf でコンフィグレーション可能です。使えそうなコンフィグレーションはこんな感じかな。man vsftpd.confで詳細な説明が読めます。
|
コマンド |
説明 |
| anonymous ftp のパスワードを制限する。 | |
| deny_email_enable=YES (default=NO) |
/etc/vsftpd.banned_emailsでかかれているE-Mailアドレスで,Anonymous
ftpログインさせない。 ftpサーバへアタックされた時などで,使用する。(と良いらしい) /etc/vsftpd.banned_emails は,事前に作成しておく必要がある。 |
□ /etc/vsftpd.banned_emails の内容
|
内容 |
説明 |
| Agpuser@home.com Bgpuser@home.com Cgpuser@home.com 〜 Zgpuser@home.com |
実際には,以下の3つのパターンを確認しました。 Ugpuser@home.com IIS(Microsoft)へのセキュリティホールを狙ったアタックのようです。 |
| anonymous | これも,IISのセキュリティホール狙いのようです。1回してきていないのですが,パターンが上のツールと似ています。 |
| Squid@ interscan@EXAMPLE.com proxy@ netcache@ |
デフォルトのまま,というよりは,本来設定すべきところを検討せずに,適当に使っているプロキシーサーバからのアクセスです。 サーバ側でしっかり設定を行っていないサイトです。管理者が怠慢なサイトは踏み台にされている可能性が高いので,拒絶したがよいでしょう。 「EXAMPLE」の部分には,存在するドメインの名称が入ります。(ISVWというウィルス検知ソフトのデフォルトの設定になります) |
| ? | 不明なアクセス。 |
| -wget@ lftp@ IEUser@ opera@ mozilla@example.com |
ftpクライアントのデフォルトの設定。 許可しても良いのだが,こういうアドレスは攻撃プログラムでも使用される可能性が高いので,拒絶しても良いと思う。 |
| IEUser@oooo IEUser@org IE_USER@ _IEUser@ |
「IEUser@」で弾かれたから,こういうパスワードを設定したのであろう。 「自分さえ良ければ」とか,「俺様の勝手だろ」「てめぇの都合なんか知りはしない」という自分勝手な意図が読み取れる。 |
