サーバーにLinodeからのアタックが多い。まとめてBANしたくなるが…

メールサーバーを立てて運用をテストしているところです。

fail2ban でアタック・スキャンを遮断する話を書きましたが、Linodeからのアタック・スキャンが多くてうんざりしています。

毎日何十回もサーバーへスキャンが来るCensysなどについて。IPを弾くには

現在 fail2ban で BAN している IP（FQDN）はこんな感じ。

ミシガン大学の Censys は最初からIPレンジを登録して遮断しているので上には載っていません。Internet Research Project は利用するIPを公開していないのでやっかいです。

そういった一応調査目的だと言っているものを除くと、linode.com からのアクセスがもの凄く多いことが分かります。

AWS は利用者が悪いことをしていないかチェックしているようで、数は少ないです。

Linodeが所有しているIPアドレスを全て遮断したくなりますが、Linodeは広く使われているサービスでしょうから、これをするとメールサーバーなら必要なメールが届かなくなることもありそうです。

ただ、IPアドレスではなく "*.members.linode.com" を弾いてしまうのは手かもしれません。

というのも、しっかりしたサービスなら rDNS/PTRレコードを書き換えるでしょうから、こういったすぐに破棄するようなインスタンスは弾いてしまっても良いかもしれません。

iptables ではこれができないので、TCP Wrapper でのアクセス制限を使うのが簡単そうです。

TCP Wrapper の hosts.allow、hosts.deny はすごく便利なのですが、TCP Wrapper を使うように作られていないソフトウェアが多くて意外と出番がありません。

exim で TCP Wrapper を利用するには自分でコンパイルしないといけないのでちょっと大変です。

それにしても、こんなにもLinodeからのスキャン・アタックが多いと、Linodeが所有するIPアドレスの多くがブラックリストに入っていそうです。

新しく借りたサーバーが最初からブラックリストに入っているかもと考えるとLinodeを利用しにくくなります。