|
Brute Forcing 공격에 대비하기
0.개요
우리가 서비스 로그를 확인할 경우
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxx.xxx.xxx.xxx
pam_succeed_if(sshd:auth): error retrieving information about user developer
Invalid user developer from xxx.xxx.xxx.xxx
input_userauth_request: invalid user developer
pam_unix(sshd:auth): check pass; user unknown
이러한 형태의 로그를 자주 접했을 것이다 그리고
이러한 로그는 한번에 많게는 수십개씩 바로 붙어 확인이 될것이다
이러한 형태의 로그가 바로 패스워드 및 아이피를 무작위대입하여
공격을 하는 형태이다.
이러한 공격의 위험성은 패스워드 정책과 규칙을 재대로 관리 하는 곳이라면
패스워드가 풀릴 큰위험성은 없지만. 예를 들어 1111, password, 회사명 등
누구나 유추가능하고 쉬운 패스워드를 쓸경우 쉽게 풀려버리기도 한다.
그리고 순간적으로 너무 많은 접속을 하게되면 소켓 자원의 부족으로
정상적인 접근이 어렵게 되기도 한다
이러한 위험성에서 벗어날 수 있는 방법중 한기지를 소개하고자 한다
1. 소개 어플리케이션
소개할 어플리케이션은 fail2ban 이라는 프로그램이며
이는 모니터링할 어플리케이션의 로그파일과 iptables를 이용하여
접속 시도 확인과 차단을 한다
차단기준은 접속 실패 횟수와 횟수에 도달한 시간이 차단의 기준이다
예를 들어 5분안에 5회 이상 접속 실패일 경우 접속을 차단한다
우선 EPEL 설치
https://zetawiki.com/wiki/YUM_epel_%EC%A0%80%EC%9E%A5%EC%86%8C_%EC%B6%94%EA%B0%80
yum install -y epel-release
2. 다운로드
fail2ban의 공식 사이트 http://www.fail2ban.org
yum install -y fail2ban
3. 설정파일 추가하기
yum으로 설치하면된다
yum install fail2ban
4. 설정하기
vi /etc/fail2ban/jail.d/sshd.local
[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
maxretry = 5
bantime = 86400
:wq 저장 ( ssh 포트로 5번의 로그인시도 한경우 하루(86000초) 차단 )
5. fail2ban 시작 및 명령어
systemctl enable fail2ban
systemctl start fail2ban
* 자주쓰는 명령어
fail2ban-client status : ban 목록확인
cat /var/log/fail2ban.log : fail2ban 로그확인
cat /var/log/fail2ban.log | grep Ban : Ban 내역만 뽑아서 보기
* ban된 ip 해제하기
fail2ban-client set sshd unbanip 200.000.101 (해제IP)
벤 명령어 - fail2ban-client set 감옥이름 banip 192.168.1.250
언벤 명령어 =fail2ban-client set 감옥이름 unbanip 192.168.1.200
벤로그
cat /var/log/fail2ban.log* | grep "] Ban" | awk '{print $NF}' | sort | uniq -c | sort -
|
