GCP VMインスタンスのSSHポートを変更した

公開日時

GCPの料金を見返していたところ、普段は無料枠で利用できていたVMインスタンスの料金が4月分だけ跳ね上がっていることに気づいた。

レポートのグループ条件を「SKU」に切り替えたところ、「Network Internet Egress from Americas to EMEA」で料金がかかっていることが分かった。

ヨーロッパ方面からの下りアクセスが増えていた模様。

gce price

Webサーバも動かしているのでトラフィックの原因が何かまでは分かっていないが、そもそもSSHポートをデフォルトのまま使っていたことを思い出した。

SSHのログを見るとアタックが来ていたのが確認できた。

cat /var/log/auth.log | grep -c 'Invalid'

そこで下記記事を参考にSSHポートを別のポート番号に変更した。

また、Fail2Banも合わせてインストールしておいた。

  • /etc/fail2ban/jail.d/defaults-debian.conf

1回ログインに失敗したら1時間Banするように設定

[sshd]
enabled = true
maxretry = 1
bantime = 3600

これでしばらく様子を見てみることにする。

参考


Related #gcp

[Action Required] Free Container Scanning ends

お試しで使っていたコンテナイメージの脆弱性スキャンを無効にした

[Action Required] Internal error has affected services in Cloud Run that use Cloud Load Balancing

デフォルトURLで利用している場合は対応不要

ローカルディレクトリをCloud Storageに同期する

gsutil rsyncを利用した

Cloud RunアプリをCloud Buildでデプロイできるようにする

特定のブランチにpushしたらデプロイできるようになった

GCP LoggingのアラートをSlackに通知する

ユーザ指標を作成してアラート設定を行う