ncp 마이크로 서버로 잠시 테스트를 진행 중 ssh 로그인에 이상이 있는 것을 느끼고 로그를 본 순간 특정 IP에서 공격이 들어오는 것을 감지했다...
뭐 딱 보니 무차별 대입 공격으로 공유된 자료도 여러 가지이고 해서 공격하는 IP를 차단하려고 한다.
글을 쓰는 이 순간에도 계속 공격하는 이란.. 참 애정도 남다른 거 같은데 보면 볼수록 짜증 나고 로그 파일의 용량은 계속 커지고 있어
깔끔하게 차단하고 보내주려고 합니다.
대충 ssh 접속해서 로그를 확인해 보면 아래 사진과 같이 각 나라에서 x병을 하고 있는 것을 볼 수 있습니다.
제가 사용한 명령어는 아래와 같으며
sudo journalctl _COMM=sshd | grep "Accepted\|Failed"간단하게 보자면 시스템 로그를 확인하고 comm 필터링해서 sshd 데몬만 확인 grep로 연결 실패를 확인할 수 있는 명령어입니다.
root를 열어둔 게 잘못이지만 ncp라서 상관없겠지 하는 생각으로 나뒀는데 역시가 역시입니다.
이후 아래와 같이 centos 7 방화벽에서 차단
firewall을 통해서 특정 아이피 103.215.223.148로 들어오는 모든 트래픽에 대해서 차단을 해주었습니다.
[root@ncp-centos-7 ~]# sudo firewall-cmd --add-rich-rule='rule family="ipv4" source address="103.215.223.148" reject'
success
[root@ncp-centos-7 ~]# sudo firewall-cmd --reload
하지만 로그를 보면 근본적인 문제는 root 접근을 허용하고 있다는 점에서 문제가 생기는 거 같습니다.
보안에 안일했던 자신을 뉘우치면서 ssh의 root 접속을 차단하겠습니다.
sudo vi /etc/ssh/sshd_config
PermitRootLogin yes 줄을 찾아 PermitRootLogin no로 변경합니다.
sshd의 서비스를 재시작합니다.위에 작업을 통해서 더 이상 root 접근이 불가하게 되었으며 103의 아이피 또한 차단되었습니다.
무차별 대입공격에 대처하는 방법은 여러 가지가 있지만
역시 root가 열려 있는지 확인하는 게 제일 좋습니다.
'보안 > CentOS+Ubuntu' 카테고리의 다른 글
| 리눅스 ssh 접속시 문구 표시하기 (3) | 2023.05.31 |
|---|---|
| 리눅스(Linux)명령어 정리 2탄 : pwd명령어 (2) | 2023.05.31 |
| [Linux] Apache(아파치) 로그 확인하는 방법 (3) | 2023.05.06 |
| 리눅스(Linux)명령어 정리 1탄 : cd 명령어 (1) | 2023.05.06 |
| 리눅스 su와 su - 명령어의 차이점 (3) | 2023.04.27 |