日本以外のユーザのアクセスを禁止したい

知人のサーバ（Linux）がハッカーに不正アクセスされたそうです。
ウチもサーバを立てているのですが、不正アクセスを調べてみた所、イスラエルや中国、サウジアラビアなど他国のIPアドレスらしいので、外国からのtelnet、ssh、FTPのアクセスを全てはじきたいです。場合によってはWebも。

Apache(2.0)の設定か、iptablesで対応したい所ですがその設定方法を詳しく教えて頂けると嬉しいです。

ベストアンサー umota 回答No.1

セキュリティ的にはパケットフィルタを適切に設定、各パッケージを最新のものに、
不要なサービスを止める、、、ということになります。

私は侵入の確立を下げるのと、ウザいログを減らすために
以下の方法を使用していますが、参考になるでしょうか。

・パケットフィルタ(iptables)で
1 iptables で不正アクセスのLOGをとり
2 スクリプトで解析(ネットワークアドレスごとに集計)
3 アクセスの多いネットワークアドレスをログをとらずに禁止(DROP)
# ネットワークアドレスの割当ては時々変わるので、たまに確認が必要です。

・Apache(httpd-2.0.xx)で
バーチャルホスト機能で URL 以外(直 IP アドレスでアクセス)の
アクセスを(空の)ダミーページに設定して専用のログファイルにする。
# 完全ではないがかなりの不正アクセス(4xx)を分けることができます。
# これにひっかかる検索ロボットがあります。

entree 回答No.2

不正アクセスについては Web サーバを公開している以上はある程度あるものです。また、Nimda などのウィルスの影響によって攻撃されている場合もあります。

ですので、サーバが高負荷になりすぎる、掲示板などが荒らされる、サーバのセキュリティホールを突いて侵入される (これが一番問題ですがちゃんとパッチの適用やバージョンアップを行っていれば心配なし) 等の問題がなければ放置しておいても構わないと思います。

まず、dig などのコマンドで、不正アクセスと思われる IP アドレスからドメインを調査し、傾向があるようであれば、そのドメインからのアクセスを不許可にしてしまうなどの方法もありますが、特に傾向がない場合、送信元 IP アドレスそのものを偽っている場合もあるのであまり効果は期待できません。

また、IP アドレスからドメインを検索した結果、他国のものであっても、相手がその国にいるとも限りません。(例えば、日本でも、.com や .net のドメインを取得できる)

結局、考えられる対処方法としては

- IP アドレスの変更を申請する
- ホスト名またはドメイン名を変更する

となります。