GCPの無料枠サーバーに来る ssh アクセス元のIPアドレス

• sshguard でブロックしたIPアドレスについて、2台のサーバーで比較する
  • 同一のIPアドレスだけを抽出する
    • sort <(ssh -i 秘密鍵 アカウント名@サーバーFQDN "journalctl -u sshguard -b | grep Nov | grep Blocking | grep -Eo '([[:digit:]]{1,3}\.){3}[[:digit:]]{1,3}' | sort | uniq") <(ssh サーバー省略名 "journalctl -u sshguard -b | grep Nov | grep Blocking | grep -Eo '([[:digit:]]{1,3}\.){3}[[:digit:]]{1,3}' | sort | uniq") | uniq -d
    • これは、11月に sshguard でブロックした IPアドレスを journalログから抽出して比較しています。バラしたものを下に書いておきます。
  • 11月1日〜9日までの2台のサーバーでブロックしたユニークなIP数は、
    • サーバーA = 1909(個)
    • サーバーB = 1815(個)
    • この内、重複したIP= 297(個)

ざっくり言うと、2000個のIPからssh不正アクセス試行があって、共通するのは10%でした。センサーを増やして観測しないといけませんが、不正試行するコンピューターの数は多いって事ですね。

sort \
    <(ssh -i 秘密鍵 アカウント名@サーバーFQDN \
        "journalctl -u sshguard -b | grep Nov | grep Blocking | grep -Eo '([[:digit:]]{1,3}\.){3}[[:digit:]]{1,3}' | sort | uniq"\
    )\
    <(ssh サーバー省略名 \
        "journalctl -u sshguard -b | grep Nov | grep Blocking | grep -Eo '([[:digit:]]{1,3}\.){3}[[:digit:]]{1,3}' | sort | uniq"\
    )\
| uniq -d```