'보안'에 해당되는 글 4건
- 2012/01/18 IP 위치 추적
- 2012/01/17 ssh root 로그인 차단
- 2012/01/17 Brute-force attack 방어법 - oops-firewall 혹은 iptables
- 2012/01/17 oops-firewall 에서 특정 ip 대역 막기
오늘 아침에도 root로 들어오려는 녀석의 로그가 쌓였다. ㅠ.ㅠ
정말 어디서 들어오는지 궁금해서 돌려본 IP 추적기.
http://www.melissadata.com/lookups/iplocation.asp
MapG를 클릭하면 구글맵으로 위치가 표시된다.
ㅡ.ㅡ; 여기는 뭣하는 곳이다냐. 어쨋든 국내를 통해서 들어오는거 같다. S B~~~
아무래도 쉘 포트를 바꿔야 겠다. 안바꿀라고 했더만.
정말 어디서 들어오는지 궁금해서 돌려본 IP 추적기.
http://www.melissadata.com/lookups/iplocation.asp
MapG를 클릭하면 구글맵으로 위치가 표시된다.
ㅡ.ㅡ; 여기는 뭣하는 곳이다냐. 어쨋든 국내를 통해서 들어오는거 같다. S B~~~
아무래도 쉘 포트를 바꿔야 겠다. 안바꿀라고 했더만.
'보안' 카테고리의 다른 글
| IP 위치 추적 (0) | 2012/01/18 |
|---|---|
| ssh root 로그인 차단 (0) | 2012/01/17 |
| Brute-force attack 방어법 - oops-firewall 혹은 iptables (0) | 2012/01/17 |
| oops-firewall 에서 특정 ip 대역 막기 (0) | 2012/01/17 |
- ssh root 로그인 차단
- 보안
- 2012/01/17 15:37
ssh 터미널에서 root 로그인을 막는 방법이다.
# vi /etc/ssh/sshd_config
39번째 줄 주석해제 후 no로 변경
PermitRootLogin no
# service sshd restart
# vi /etc/ssh/sshd_config
39번째 줄 주석해제 후 no로 변경
PermitRootLogin no
# service sshd restart
'보안' 카테고리의 다른 글
| IP 위치 추적 (0) | 2012/01/18 |
|---|---|
| ssh root 로그인 차단 (0) | 2012/01/17 |
| Brute-force attack 방어법 - oops-firewall 혹은 iptables (0) | 2012/01/17 |
| oops-firewall 에서 특정 ip 대역 막기 (0) | 2012/01/17 |
- Brute-force attack 방어법 - oops-firewall 혹은 iptables
- 보안
- 2012/01/17 15:34
oops-firewall 설치한 서버를 외부에서 접속할라고 sshd를 열어놨더니 계속 root 공격 들어와서 신경쓰인다.
fail2ban을 설치해 보았지만 제대로 동작하지 않은것 같아서 아래 방법을 시도해 보려고 한다.
참조 : http://cafe.naver.com/linuxihd.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=238&
Brute-force attack은 패스워드 사전 파일을 이용하여 미리 지정한 아이디를 지속적으로 대입하여 취약한 패스워드로 설정된 ID를 찾는 공격이며, iptables를 이용하여 간단하게 막는 방법을 다음과 같이 소개합니다.
===========
%-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSHSCAN
%-A INPUT -p tcp --dport 21 -m state --state NEW -m recent --set --name FTPSCAN
%-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name SSHSCAN -j LOG --log-prefix SSH_Scan:
%-A INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name FTPSCAN -j LOG --log-prefix FTP_Scan:
%-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name SSHSCAN -j DROP
%-A INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name FTPSCAN -j DROP
===============
위의 스크립트는 ssh 또는 ftp brute force attack 공격을 받을 경우 60초간 9번의 로그인 실패시 10번째부터 60초간 접속을 막는 방법입니다. 또 다른 방법으로는 1234, abcd 와 같은 쉬운 패스워드보다 특수문자를 이용한 강력한 패스워드로 설정합니다. 해킹당한 서버의 대부분은 이렇게 유추하기 쉬운 패스워드로 지정되어 있는 경우가 가장 많습니다.
마지막으로 ssh 접속 포트를 변경하는 것도 좋은 방법입니다.
/etc/ssh/sshd_config의 #port 22 항목의 주석을 제거하고 22번을 다른 포트 번호로 변경 후 지정합니다.
/etc/rc.d/init/sshd restart를 입력 후 변경한 포트로 접속이 되는지 확인하시기 바랍니다.
oops-firewall/user.conf 파이을 이용하여 적용도 가능합니다.
/var/log/messages, secure 파일에서 ftp 혹은 ssh 로 검색하여 보면 접속 실패 메시지가 많이 나오는 분들은 꼭 위의 스크립트로 막아주신다면 더 좋은 보안환경을 만들 수 있을 것 같습니다.
ps. 집에가서 적용해 봐야지.
fail2ban을 설치해 보았지만 제대로 동작하지 않은것 같아서 아래 방법을 시도해 보려고 한다.
참조 : http://cafe.naver.com/linuxihd.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=238&
Brute-force attack은 패스워드 사전 파일을 이용하여 미리 지정한 아이디를 지속적으로 대입하여 취약한 패스워드로 설정된 ID를 찾는 공격이며, iptables를 이용하여 간단하게 막는 방법을 다음과 같이 소개합니다.
===========
%-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSHSCAN
%-A INPUT -p tcp --dport 21 -m state --state NEW -m recent --set --name FTPSCAN
%-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name SSHSCAN -j LOG --log-prefix SSH_Scan:
%-A INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name FTPSCAN -j LOG --log-prefix FTP_Scan:
%-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name SSHSCAN -j DROP
%-A INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name FTPSCAN -j DROP
===============
위의 스크립트는 ssh 또는 ftp brute force attack 공격을 받을 경우 60초간 9번의 로그인 실패시 10번째부터 60초간 접속을 막는 방법입니다. 또 다른 방법으로는 1234, abcd 와 같은 쉬운 패스워드보다 특수문자를 이용한 강력한 패스워드로 설정합니다. 해킹당한 서버의 대부분은 이렇게 유추하기 쉬운 패스워드로 지정되어 있는 경우가 가장 많습니다.
마지막으로 ssh 접속 포트를 변경하는 것도 좋은 방법입니다.
/etc/ssh/sshd_config의 #port 22 항목의 주석을 제거하고 22번을 다른 포트 번호로 변경 후 지정합니다.
/etc/rc.d/init/sshd restart를 입력 후 변경한 포트로 접속이 되는지 확인하시기 바랍니다.
oops-firewall/user.conf 파이을 이용하여 적용도 가능합니다.
/var/log/messages, secure 파일에서 ftp 혹은 ssh 로 검색하여 보면 접속 실패 메시지가 많이 나오는 분들은 꼭 위의 스크립트로 막아주신다면 더 좋은 보안환경을 만들 수 있을 것 같습니다.
ps. 집에가서 적용해 봐야지.
'보안' 카테고리의 다른 글
| IP 위치 추적 (0) | 2012/01/18 |
|---|---|
| ssh root 로그인 차단 (0) | 2012/01/17 |
| Brute-force attack 방어법 - oops-firewall 혹은 iptables (0) | 2012/01/17 |
| oops-firewall 에서 특정 ip 대역 막기 (0) | 2012/01/17 |
- oops-firewall 에서 특정 ip 대역 막기
- 보안
- 2012/01/17 15:22
[root@~~~]# vi /etc/oops-firewall/user.conf 파일을 수정한다.
%-A INPUT -s 84.22.0.0/16 -j DROP # 84.22 대역을 모두 막음
%-A INPUT -s 200.200.200.1 -p tcp --destination-port telnet -j DROP # telnet를 막음
%-A INPUT -s 84.22.0.0/16 -j DROP # 84.22 대역을 모두 막음
%-A INPUT -s 200.200.200.1 -p tcp --destination-port telnet -j DROP # telnet를 막음
'보안' 카테고리의 다른 글
| IP 위치 추적 (0) | 2012/01/18 |
|---|---|
| ssh root 로그인 차단 (0) | 2012/01/17 |
| Brute-force attack 방어법 - oops-firewall 혹은 iptables (0) | 2012/01/17 |
| oops-firewall 에서 특정 ip 대역 막기 (0) | 2012/01/17 |
Recent comment