오랜만에 왔는데 신형에도 freelink를 설치해서 성공하신 분들이 계시는군요.

 

저도 작년에 설치해서 지금도 잘 쓰고 있습니다. 하지만 freelink가 리눅스고 윈도우만큼 쓰기 쉬운게 아니다 보니 조금은 어려운 점이 많이 있긴 합니다.

쓰면서 좋긴 하지만 왠지 보안에 찜찜한 구석이 있긴 합니다. 또 이게 서버이고 외부에 노출되어 있을 경우 SSH만 열려 있어도 공격을 지속적으로 받고 있습니다.

가끔씩 시스템 로그를 확인해 보면 지속적인 로그인 접속을 시도하는 무수의 ip들이 있다는 것을 확인 하실 수 있을 겁니다.

지금도 cat /var/log/auth.log를 하면 다음과 같은 로그들이 나오는군요.


  Jan 31 12:10:02 LS-GL7D6 sshd[16674]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.202.24.36
Jan 31 12:10:04 LS-GL7D6 sshd[16674]: Failed password for invalid user aix from 203.202.24.36 port 60110 ssh2
Jan 31 12:10:08 LS-GL7D6 sshd[16678]: Invalid user arping from 203.202.24.36
Jan 31 12:10:08 LS-GL7D6 sshd[16678]: (pam_unix) check pass; user unknown
Jan 31 12:10:08 LS-GL7D6 sshd[16678]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.202.24.36
Jan 31 12:10:10 LS-GL7D6 sshd[16678]: Failed password for invalid user arping from 203.202.24.36 port 60447 ssh2
Jan 31 12:10:14 LS-GL7D6 sshd[16682]: Invalid user HP-UX from 203.202.24.36
Jan 31 12:10:14 LS-GL7D6 sshd[16682]: (pam_unix) check pass; user unknown
Jan 31 12:10:14 LS-GL7D6 sshd[16682]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.202.24.36
Jan 31 12:10:15 LS-GL7D6 sshd[16682]: Failed password for invalid user HP-UX from 203.202.24.36 port 60791 ssh2
Jan 31 12:10:16 LS-GL7D6 sshd[16688]: refused connect from 203.202.24.36 (203.202.24.36)


만일 자주 사용하는 예를 들어 admin아이디 같은게 일반적인 비번으로 되어 있을 경우 서버가 뚫릴 위험이 있습니다. 물론 비번은 바꾸시는게 좋고요.

리눅스에는 hosts.allow와 hosts.deny라는 것이 있어서 접속하는 ip들에 대해서 접속 가능여부를 처리할 수 있습니다. 여기서 접속 못하게 하고 싶은 ip같은것을 hosts.deny파일에 넣어두면 그 아이피는 접속이 거부되게 됩니다.

하지만 일일이 로고를 확인해서 기록할 수는 없는 노릇인데 이렇때 이걸 사용하면 됩니다. 참 서론이 길었습니다.

denyhosts라는 프로그램인데 다음과 같이 설명이 되어 있습니다.


 root@LS-GL7D6:~# apt-cache search denyhosts
denyhosts - an utility to help sys admins thwart ssh hackers


ssh해커로의 공격, 방해로부터 관리자를 도와주는 유틸이라고 되어 있네요.

단지 설치를 하고 설정만 몇개 해주면 계속 떠 있기 때문에 자동으로 로그를 보면서 지속적으로 접속하는 ip가 있으면 자동으로 hosts.deny파일에 추가를 해 줍니다.

제 hosts.deny파일에 보니 170개가 넘는 ip가 남아 있군요. ㅡㅡ 이놈들은 어디서 알고 접속을 하는건지.

 

설치는 간단합니다. debian이니까

 #apt-get install denyhosts

 

라고 하시면 됩니다. 그러면 자동으로 설치되면서 설치가 되는데 아마 denyhosts외에 파이선도 같이 설치될 수도 있습니다. 파이선기반으로 되어 있기 때문에 꼭 필요한 파일입니다. 설정 파일은 /etc/denyhost.conf 파일입니다.

이 파일을 읽어 보시면 몇 번 실패하면 추가를 할지 언제 hosts.deny에서 지워줄지. 이런걸 정할 수 있습니다.

 

제 로고를 보시면 203.202.24.36 아이피가 마지막에 거절된걸 보실 수 있습니다. hosts.deny파일을 보면 마지막에 위 아이피가 추가되어 있네요^^

 sshd: 203.202.24.36
root@LS-GL7D6:~#

 

아무쪼록 보안의 위험에서 조금이라도 도움이 되셨으면 좋겠습니다.
.

[출처] http://lanplaza.net/?doc=bbs/gnuboard.php&bo_table=tip&page=1&wr_id=42
신고

+ Recent posts

티스토리 툴바