반응형
출처] http://funpython.com/blog/7
관리용으로 모든 아이피에서 접근 할 수 있도록 서버 설정이 되어 있는 경우, 불특정 IP에서
SSH 포트로 로그인 시도가 일어난다.
불특정 IP를 자동으로 /etc/hosts.deny 에 등록함으로서 접근 시도를 방지한다.
사용환경
fedora 5
첫번째로 ssh 에 대한 log 기록은 /var/log/secure에 기록된다.
var/log/secure에 기록된 로그 중에서 로그인 시도를 한 IP를 찾아낸다.
grep "Failed password for" /var/log/secure | egrep -v "invalid user|{USERID}|{LOGINIP}" | awk '{ print $11}' | uniq | sed "s/^/all:/" > /tmp/anonymous_login
grep "Failed password for invalid user" /var/log/secure.1 | awk '{ print $13}' | uniq | sed "s/^/all:/" >> /tmp/anonymous_login
{USERID} 부분에는 로그인 하기 위한 ID를 설정한다. 이것을 설정하지 않으면 자기가 로그인 시도를 하다가 실패를 할 경우 콘솔로 가거나 다른IP 장소에서 로그인하지 않으면 안된다.
{LOGINIP} 로그인 장소가 고정아이피이며 특정IP에서는 발생하는 로그인 실패기록은 무시를 할 경우 기록한다. 유동아이피 일 경우는 주의 하도록 한다.
{ print $11} 부분은 접속 실패가 일어 날 경우 접속 거부할 상대방의 IP의 위치
다 른 배포판을 위하여 /var/log/secure에 기록되는 내용이 배포판마다 다를 수 있으므로 grep문에 로그를 찾기 위한 부분이나 egrep -v로 로그파일에서 취득하고 싶지 않는 내용을 적거나 awk에 의해 취득해 오기 위한 해당 열의 위치등 설정을 바꾸어 보도록 한다.
- 첫번째의 grep은 존재하는 user id 로 시도를 하려고 할 때 로그인 실패시 IP를 얻기 위한 명령어
- 두번째의 grep은 존재하지 않는 user id 로 시도를 하려고 할 때 로그인 실패시 IP를 얻기 위한 명령어
두번째로는 만들어진 접속 거부 IP와 접속거부 설정 파일과의 머지 작업을 위해 임시 파일을 만든다.
cat /tmp/anonymous_login /etc/hosts.deny | sort | uniq > /tmp/hosts.deny
마지막으로 만들어진 임시 파일을 접속 거부 설정 파일로 복사한다.
cp /tmp/hosts.deny /etc/hosts.deny
위의 내용을 crontab에 넣어 자동적으로 갱신되도록 한다.
crontab -e로 현재의 crontab 내용을 열어 다음과 같이 넣도록 한다.
00 * * * * grep "Failed password for" /var/log/secure | egrep -v "invalid user|{USERID}|{LOGINIP}" | awk '{ print $11}' | uniq | sed "s/^/all:/" > /tmp/anonymous_login
03 * * * * grep "Failed password for invalid user" /var/log/secure.1 | awk '{ print $13}' | uniq | sed "s/^/all:/" >> /tmp/anonymous_login
05 * * * * cat /tmp/anonymous_login /etc/hosts.deny | sort | uniq > /tmp/hosts.deny
07 * * * * cp /tmp/hosts.deny /etc/hosts.deny
매 시간 한번씩 갱신이 되며 갱신 주기는 서버 로그를 보면서 조정하도록 한다.
각각의 클론 설정을 매 분 주기로 처리를 하지 않도록 한다. 로그 파일이 길어질 경우
기존의 hosts.deny 파일이 마지막으로 처리한 필터링으로만 설정될 수 있다.
자기 자신도 원격에서의 접속은 필히 주의를 하도록 한다. 실수를 하게 되면 로그에
로그인 실패 로그가 남게 되며 이 로그에 의해 원격지의 IP도 블럭이 된다.
실수를 하고 로그인을 했다면 로그 파일에서 실패 로그를 지우도록 한다.
참조
http://kltp.kldp.org/stories.php?story=05/08/02/4164861
관리용으로 모든 아이피에서 접근 할 수 있도록 서버 설정이 되어 있는 경우, 불특정 IP에서
SSH 포트로 로그인 시도가 일어난다.
불특정 IP를 자동으로 /etc/hosts.deny 에 등록함으로서 접근 시도를 방지한다.
사용환경
fedora 5
첫번째로 ssh 에 대한 log 기록은 /var/log/secure에 기록된다.
var/log/secure에 기록된 로그 중에서 로그인 시도를 한 IP를 찾아낸다.
grep "Failed password for" /var/log/secure | egrep -v "invalid user|{USERID}|{LOGINIP}" | awk '{ print $11}' | uniq | sed "s/^/all:/" > /tmp/anonymous_login
grep "Failed password for invalid user" /var/log/secure.1 | awk '{ print $13}' | uniq | sed "s/^/all:/" >> /tmp/anonymous_login
{USERID} 부분에는 로그인 하기 위한 ID를 설정한다. 이것을 설정하지 않으면 자기가 로그인 시도를 하다가 실패를 할 경우 콘솔로 가거나 다른IP 장소에서 로그인하지 않으면 안된다.
{LOGINIP} 로그인 장소가 고정아이피이며 특정IP에서는 발생하는 로그인 실패기록은 무시를 할 경우 기록한다. 유동아이피 일 경우는 주의 하도록 한다.
{ print $11} 부분은 접속 실패가 일어 날 경우 접속 거부할 상대방의 IP의 위치
다 른 배포판을 위하여 /var/log/secure에 기록되는 내용이 배포판마다 다를 수 있으므로 grep문에 로그를 찾기 위한 부분이나 egrep -v로 로그파일에서 취득하고 싶지 않는 내용을 적거나 awk에 의해 취득해 오기 위한 해당 열의 위치등 설정을 바꾸어 보도록 한다.
- 첫번째의 grep은 존재하는 user id 로 시도를 하려고 할 때 로그인 실패시 IP를 얻기 위한 명령어
- 두번째의 grep은 존재하지 않는 user id 로 시도를 하려고 할 때 로그인 실패시 IP를 얻기 위한 명령어
두번째로는 만들어진 접속 거부 IP와 접속거부 설정 파일과의 머지 작업을 위해 임시 파일을 만든다.
cat /tmp/anonymous_login /etc/hosts.deny | sort | uniq > /tmp/hosts.deny
마지막으로 만들어진 임시 파일을 접속 거부 설정 파일로 복사한다.
cp /tmp/hosts.deny /etc/hosts.deny
위의 내용을 crontab에 넣어 자동적으로 갱신되도록 한다.
crontab -e로 현재의 crontab 내용을 열어 다음과 같이 넣도록 한다.
00 * * * * grep "Failed password for" /var/log/secure | egrep -v "invalid user|{USERID}|{LOGINIP}" | awk '{ print $11}' | uniq | sed "s/^/all:/" > /tmp/anonymous_login
03 * * * * grep "Failed password for invalid user" /var/log/secure.1 | awk '{ print $13}' | uniq | sed "s/^/all:/" >> /tmp/anonymous_login
05 * * * * cat /tmp/anonymous_login /etc/hosts.deny | sort | uniq > /tmp/hosts.deny
07 * * * * cp /tmp/hosts.deny /etc/hosts.deny
매 시간 한번씩 갱신이 되며 갱신 주기는 서버 로그를 보면서 조정하도록 한다.
각각의 클론 설정을 매 분 주기로 처리를 하지 않도록 한다. 로그 파일이 길어질 경우
기존의 hosts.deny 파일이 마지막으로 처리한 필터링으로만 설정될 수 있다.
자기 자신도 원격에서의 접속은 필히 주의를 하도록 한다. 실수를 하게 되면 로그에
로그인 실패 로그가 남게 되며 이 로그에 의해 원격지의 IP도 블럭이 된다.
실수를 하고 로그인을 했다면 로그 파일에서 실패 로그를 지우도록 한다.
참조
http://kltp.kldp.org/stories.php?story=05/08/02/4164861
반응형
'Web > LINUX' 카테고리의 다른 글
APM 소스 컴파일 설치가이드 (0) | 2011.08.31 |
---|---|
ssh 무차별 로그인 공격 막기 (0) | 2011.08.31 |
Zend Optimizer v3.3 (0) | 2011.08.31 |
DOS와 UNIX간의 문서변환 (0) | 2011.08.31 |
unix 나 linux 에서 ^M 문자열 한방에 제거하기 (0) | 2011.08.31 |