SSHに対するブルートフォース攻撃への対抗策のまとめ([ssh:00251] Re: FYI: SSHサーバーへの攻撃が増加傾向,侵入後はフィッシング・サイトに悪用も) を、新山さんがssh@koka-in.orgメーリングリストに投稿して下さいました。以下はメールからの引用です。
- 標準でないポート (22/tcp以外) を使う。
- それがだめな場合は、denyhostsを使う。(他にも類似のスクリプトがいくつかあるようです)
- パスワード(による)認証を禁止する。(「(による)」は春山の追記: PAMを用いる(UsePAM yes)環境では、ChallengeResponseAuthenticationも禁止(no)しなければパスワードによる認証が可能となるため。[ssh:00254]でのにしさんの投稿を受けて追記。)
denyhosts以外にも、
といった方法もあります。
(2005/11/11追記, 11/12URL修正)World Wide Walker: SSH への総当たり攻撃(brute force attack)と防衛でいろいろ分析されています。