概要
AWS Lightsailに構築しているRedmine。 不審なアクセスがあったので対応を行いました。
アクセスの内容
とてもシンプルに、チケットの新規発行画面に何回もアクセスしているというもの。
正規のリクエストなのでWAFでブロックされません。(解析システム:matomoで検知した次第です)
そもそも自分しかアカウントを用意していないため、この時点で不正アクセスの兆候だと判断。以下、対処を行います。
ufwでの処理
- ufwによるブロック
sudo ufw deny from IPアドレス
# より確実を期すためにIPアドレスのネットワークアドレスを指定しました (xxx.xxx.xxx.0/24)- 設定確認
sudo ufw status numbered
# Anywhere DENY IN 上記で指定したIP/ネットワークアドレスを確認します- 設定反映
sudo ufw reload
# ファイアウォールを再読込しましたと出れば反映完了ですこれでひとまず不審なアクセス元は遮断。
Redmineログイン強化
筆者が用いているRedmine4.2は二段階認証が標準で備わっていますので、それを有効化します。
- Redmineに管理者権限でログインします。
- 万一に備えて別のブラウザでもログインしっぱなしにします。
- 管理>設定>認証に移動します。
- 二段階認証を「必須」にして保存します。
その後、(別ブラウザでログインしたまま)Redmineにログイン。
後は二段階認証プロセス(Google認証システムを用いました)で指示に従ってQRコードを読み込み、生成されたコードを読み込むだけ。
ひとまず、これでID/PWによるログインに加えて認証システムの二段階で不正アクセスの被害を抑えます。