ポート 443 の SSH もしっかり狙われるんだな
午前中、NAS サーバからディスクアクセス音が 10 秒間隔くらいで聞こえるようになった。 Docker 版 Plex Media Server の 5 秒おきのディスクアクセスより間隔が長いものの、在宅勤務中ずっと耳障りだった。
試しに Docker を停止してみても音が止まらず、ログを確認してみたところ、Docker は関係なし。 root ユーザによるログイン失敗のメッセージが /var/log/auth.log に定期的に出力されてた。 SSH 本来のポート 22 は開放してないけれど、ルータでポート 443 を開放してあり、NAS サーバ上の sslh 経由で Web サーバや SSH サーバにつながるようにしてある。 今回そこが狙われたようだ。 ポート 443 の SSH もしっかり狙われるんだな。
もっと短い間隔でアクセスしてくれればルータか NAS サーバの攻撃検知機能が働いた可能性があるが、10 秒間隔くらいだとスルーされてしまう様子。 ひとまずポート 443 の常時開放をやめることにした。 どうしても外出中にログインする必要が生じた場合は、外部からルータを操作して、一時的にポートを開放すればいい気がする。 そんな機会はおそらく年に 1 回あるかないか……。
ログを見る限りチャレンジされたユーザ名は root 固定なので、パスワードの辞書攻撃だろうか。 いまどき root アカウントのパスワード認証を有効化する人がいるなんて、と言いたいところだが、簡単なパスワードを設定して外部公開してしまってるサーバが世の中にはきっとあって、のんびりした辞書攻撃か何かでも成果が得られるんだと思う。 あと、sslh のようなシンプルな仕組みはバレてるんだろう。
NAS サーバにカネをかけて無音の SSD を搭載してたらアクセス音では気づかなかったはずで、ケチって HDD を搭載した甲斐があったな! w