ssh 로그인 시도 자동 차단

   조회 2332   추천 0    

ssh 로그인하여 타 서버를 해킹하기 위한 숙주로 이용하기 위하여 무수히 많은 외국 PC 들이 리눅스에 접근해 옵니다.

이를 방지하기 위해서 저는 hosts.deny 에 시도 5회 로그인 패스워드 실패시 자동등록하여 차단하고 있습니다.


1.쉘스크립트 작성

2.크론탭에 등록


설명

그림 1,2를 보면 /var/log/secure 파일을 열은것인데

109.228.52.237 ip 에서 5번의 ssh 로그인 시도끝에 패스워드 실패하면

그 다음부터 /etc/hosts.deny 에 등록이 되기 때문에 자동차단되는것을 알수 있습니다.

~/.forward 파일에 네이버수신메일주소를 적어 네이버메일로 받아보실수 있습니다.

핸드폰으로 자동응답수신됨.

3번째 그림은 쉘스크립트

4번째 그림은 hosts.deny 에 등록된 ip

이지포토
기본적으로 포트부터 바꾸세요

포트만 달라도 공격 90%이상 막아집니다 (애초에 봇같은거 돌릴떄 포트 스캔까지 하면 시간 너무 걸리니 일일히 확인 안 함)
     
이지포토 01-05
포트는 당연히 바꿨죠. 그래도 몇천번 시도한 ip 도 하루에 수백개 나와서 하다못해 이 방법을 썼습니다.
          
만번대 포트인데도 저러면 애초에 다른 터널링 프로토콜 거쳐서 되게 바꾸세요 (답 없음)
               
저는 SSH 포트번호를
22 -> 222 -> 2222
이렇게 바꾸어 왔는데요. 계속 공격당하고 5회시도 차단되었다고 메일로 알림을 받아왔는데요.
저는 딱히 외부에서 SSH 접속해서 NAS 관리할 일이 없을것 같아서
그냥 포트포워딩에 넣었던 포트를 막아버렸습니다.
회사 PC로 접속하려면 SSH는 보안때문인지 집의 NAS로 접속이 안되더군요.
                    
그런 추정이 가능한것 쓰지말고, 아에 32002같은 겉봐서는 SSH라 알 수 없는 수준으로 해버리세요 (특히 5자리 번호대는 어지간해선 스캔도 잘 안 해봄)

SSH 접속자첸 허용 ip주소 대역을 변경하면 됩니다

다만 제경우 보안상 불안때문에 애초에 터널링 프로토콜에 쓸 포트랑 외부 서비스용 포트를 빼고 싹 다 막아버렸습니다
화란 01-05
요래해도 되구요, Fail2Ban 유틸리티 써도 됩니다.

그나저나 bash shell을 C언어 스타일로 쓰시는군요^^ 반간습니다 ㅎ
     
이지포토 01-05
정보 감사합니다.^^
포트 바꾸면 공격횟수 확 줄어들긴 합니다만, fail2ban 도해보고 이것저것 해보다가 결국 화이트리스트로... 바꿨네요. 접속 경로가 일정하다면 화이트리스트 이상 좋은게 없긴 하더군요.
술이 01-24
포트 바꿔도 결국 찾아내요. 저 봇들이 너무 많아서 봇들끼리 빅데이터화 되어 있어서 요즘은 찾는시간도 금방 찾아냅니다.
SSL VPN을 쓰든 허용된 아이피만 사용하게 하는것만이 방어하는길입니다.




제목Page 1/20
00:23   135   구형
02-27   313   송주환
02-26   356   무한도전
02-15   592   무한도전
02-14   528   RIGIDBODY
02-10   1016   생강쌍화탕
01-28   1172   무한도전
01-14   2130   무한도전
01-05   2333   이지포토
2020-12   2231   박문형
2020-12   2449   쿨보이
2020-12   3090   아마데우쓰
2020-12   2403   화정큐삼
2020-11   4413   화정큐삼
2020-11   3846   화정큐삼
2020-11   3576   김황중
2020-11   2553   무한도전
2020-10   3522   악마라네
2020-10   3471   인천I베리
2020-10   3036   wwwdjw