Login通知

ふと思った。

WEBサービスの、一般ユーザ向けのサイト構築では、ログイン通知の機能をプログラムして、「何年何月何日、誰それユーザがログインしました。」的なメール送信ができる機能を組んだりする。

ただ、紺屋の白袴というか、UbuntuとかLINUXサーバのカーネルには、ユーザログインのメール通知のデフォルトはないのかなぁ、と思っていたら、こんな記事があった。

https://qiita.com/toshi-click/items/890ca35b76e554f13cb3
サーバへのSSHログイン契機でメール通知

rootユーザでのログインを禁止しておけば、「平民」としてしかログインできない。ファイアウォールを破られ、SSHの秘密鍵が破られたとしても、「平民」からrootユーザになるには、さらにもう一段階パスワード認証がかかるから、このメールを受けて速攻でシェルのプロセスをkillすれば、ほとんど実害なしで侵入者を撃退できる。通知メッセージに、プロセス番号を含めておけば、かなりスピーディに対処できるかも知れない。

これで、相当に強くなるんじゃないかなぁ、なんて思った。

LINUXのメール送出機能って、結構無骨ですからね。味も素っ気もないというか。こういう場合、メーラを外に置いた方がいいのか、中に持っていた方がいいのか。それはそれで、ちょっと悩む。

それにしても、domainbigdataなんかで見ると、このIPアドレスはハッカーだと、断定できるくらいにabuseが多いのに、そのIPを遮断して、ネット社会から抹殺できない、っていうのは、あまりにも、制度が未熟な気がする。踏み台が多いからかなぁ。あるいは、IPの動的割り当てに該当したりするから、だろうか。動的割り当てされたIPの「踏み台」は、踏み台として使えない気もするし(いや、僕には思いつかないだけかも。つなぎっぱなしだと、つながっている間は実質的に固定IPと同じなのかな?)「踏み台」だろうが「ハッカーの実家」だろうが、まず「不正パケットが乱発されてますよ。この状態が続いたら、IPを遮断しますよ」みたいな警告を投げて、「踏み台」なら、パスワードを変えるだけでも効果があると思うし、ハッカーだとしても、すぐに別のIPを取得したりするのかも知れないけれども、そういうIPアドレスを遮断できないなら、やはり制度が未整備だという気がした。