Linux Server (ASRock)をSSHポートフォーワーディングのサーバーとして使用しています。今日、外のLinuxマシンからこのサーバーにアクセスしようとしたら、man-in-the-middle attackの疑いありというようなメッセージが出てアクセスできませんでした。
帰宅後、/var/log/secureを見たところ、不正にアクセスしようという試みがたくさん記録されているではないですか!
# cat /var/log/secure Sep 18 21:35:05 localhost sshd[4560]: Address 117.2.123.37 maps to localhost, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Sep 18 21:35:05 localhost sshd[4560]: Received disconnect from 117.2.123.37: 11: Bye Bye [preauth] Sep 18 21:35:07 localhost sshd[4562]: Address 117.2.123.37 maps to localhost, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Sep 18 21:35:07 localhost sshd[4562]: Received disconnect from 117.2.123.37: 11: Bye Bye [preauth] ・・・・・以下、たくさんの記録・・・・・
DDNS設定を済ませて外からアクセスしやすくなったのはよかったのですが、静的IPマスカレードのポート22番(SSH)をそのまま通す設定にしたのがよくなかったようです。幸い、公開鍵認証にしていて、不正アクセスの試みは失敗しているようです。man-in-the-middle attackの被害は考えにくいですが、アクセスログをチェックするのは重要だという認識に至りました..
まずは、DDNSを無効にした状態でルーターのリセットをかけ、アクセス状況を見てみましたが、DDNSではあまり変化はありませんでした。他の方のブログを見ていると、SSH接続時の22番ポートを10022にするだけでも極めて効果が高いようですので、その方向で検討しようと思います。