요즘알게 된것이지만 헤놀로지 서버를 운영중인데 SSH 포트를 열고 SSH 활성화를 일반포트에 해놨더니 무작위 대입이 자주 들어온다..(물론 시놀로지 기능덕에 1분에 10번 이상 대입 들어오면 바로 ip 밴인지라..) 대부분 vpn 우회인듯 하지만 어찌 vpn 우회를 막을수는 없으니..(설령 막는다해도 우리들이 사용 불가능 할수도 있을거같다..)
그래서 SSH 포트를 바꿀까 생각중이였지만 일단 냅두기로 했다. (비번 강화가 가장 중요하니 비번에 특문까지 넣어주기로 하였다.)
또한 내 라즈베리파이 서버에서도 ssh 서버 접속이 그렇게 많이 들어오는것같다. (아직 확실하지는 않다.)
다행이 아직까진 별 이상없는거 보면 괜찮기는 하지만.. 일단은 무작위 대입이라도 막아봐야할거 같으니 한번 글을 찾아와서 이렇게 써본다.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------
운영되는 서버에서 접속하는 IP를 확인해보면 알수없는 IP에서 접속을 시도하는 경우가 많다.
특히나 해외에서 패스워드를 뚫기위해 해킹프로그램을 사용하여 무작위로 대입을 시도하는 경우가 있다.
이럴경우 관리자 IP만을 접속가능하게 하여 해결할 수 있지만, 서버의 특성상 아무나 접속이 가능해야 할 때가 있다.
그럴경우 하나의 IP만을 접속 허용할 수 없기 때문에 무작위 대입공격을 방어할 수 있는 fail2ban을 설치하여 예방을 할 수 있다.
1. fail2ban 설치
- http://www.fail2ban.org에 접속하여 Lastest Version 중 stable version 을 다운로드
- 다운로드 받은 파일을 해당 서버로 이동
- 아니면 apt-get 으로 설치가 가능하다 간단하게 apt-get install fail2ban 을 쳐주자.
<저는 /usr/local/src 로 파일을 이동 시켰습니다.>
- 설치 명령 실행
[root@octomall src] tar zxvf fail2ban-0.8.14.tar.gz
[root@octomall src] cd fail2ban-0.8.14
[root@octomall src] python setup.py install
- 설정
[root@octomall /] vi /etc/fail2ban/jail.conf
< jail.conf > 을 열어 자신에게 맞게 설정을 변경합니다.
ignoreip : 127.0.0.1/8 -- 체크대상에서 제외할 IP(관리자 IP)
bantime : 600 -- 접근실패횟수가 넘어간 IP에 대해 설정시간 만큼 접근차단(초)
finditem : 600 -- 실패횟수를 체크할 시간범위(초)
maxretry : 3 -- IP블럭 기준의 실패횟수
#SSH 접속모니터링설정
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=알림을받을이메일주소, sender=fail2ban@example.com, sendername="Fail2Ban"]
logpath = /var/log/secure
maxretry = 5
- 부팅시 자동 실행
[root@octomall /] chkconfig --add fail2ban
[root@octomall /] chkconfig fail2ban on
- fail2ban 시작
[root@octomall /] service fail2ban start
출처 : http://blog.naver.com/gihyunkwak/220282154566
대충 이렇게 막을수 있을거 같기는 하지만 다른 방법도 더 찾아봐야할거 같다.
분명 사람들이 fan2ban 으로 부르던데 fail2ban 이 아닌가..?
