GCP VMインスタンスのSSHポートを変更した
GCPの料金を見返していたところ、普段は無料枠で利用できていたVMインスタンスの料金が4月分だけ跳ね上がっていることに気づいた。
レポートのグループ条件を「SKU」に切り替えたところ、「Network Internet Egress from Americas to EMEA」で料金がかかっていることが分かった。
ヨーロッパ方面からの下りアクセスが増えていた模様。
Webサーバも動かしているのでトラフィックの原因が何かまでは分かっていないが、そもそもSSHポートをデフォルトのまま使っていたことを思い出した。
SSHのログを見るとアタックが来ていたのが確認できた。
cat /var/log/auth.log | grep -c 'Invalid'そこで下記記事を参考にSSHポートを別のポート番号に変更した。
また、Fail2Banも合わせてインストールしておいた。
/etc/fail2ban/jail.d/defaults-debian.conf
1回ログインに失敗したら1時間Banするように設定
[sshd]
enabled = true
maxretry = 1
bantime = 3600これでしばらく様子を見てみることにする。
その後
7月に再度確認したところ、海外からの下りのネットーワークアクセスはほぼなくなり利用料金も1円に戻った。
SSHポート変更は効果があった。
cat /var/log/auth.log | grep -c 'Invalid'
0