서버의 용량을 확인하다가 갑자기 불어난 로그를 보고 뒤늦게 대응하게 되었다.
해당파일은 /var/log/secure 파일로, 보통 ssh 접속 등의 로그를 기록하는 파일이다.
상당히 불어난 용량으로 인해 도대체 무엇이 기록되고 있는지 tail -f 명령어로 보고 있는데 거의 3초당 한줄씩 중국쪽으로 부터 SSH 아이디와 패스워드를 무차별적으로 대입하여 접속을 시도하는 공격을 받고 있었다.
이는 로그 파일의 용량도 용량이거니와 이대로 방치하면 언젠가는 뚫릴수도 있기 때문에 대책을 하기로 했다.
먼저 서버의 로그파일을 확인하여 이러한 공격을 받고 있는지 확인해보도록 하자.
로그 확인
cat /etc/syslog.conf
CentOS 및 Fedora의 경우
cat /var/log/secure | grep "Invalid user" cat /var/log/secure | grep "Failed password" cat /var/log/messages | grep "failure"
webmin의 경우
[시스템]->[시스템 로그]에서 해당 로그 확인
설정 변경
/etc/ssh/sshd_config의 설정 변경
vi /etc/ssh/sshd_config
아래의 내용을 변경 및 추가(보통 주석처리 되어 있으므로 주석을 풀고 설정을 변경하고 없으면 추가한다.)
MaxAuthTries 3 # 최대 동시 인증수를 3으로 변경 MaxStartups 2:90:4 # 2번을 넘는 인증 시도는 90%확률로 차단 4번을 넘으면 전부 차단
각 프로퍼티의 내용은 검색을 해보길 바라며 이것으로 기본적인 대책은 완료.
ssh 재시작
service sshd stop service sshd start
CentOS7 이상의 경우
systemctl stop sshd.service systemctl start sshd.service
'Dev > Linux' 카테고리의 다른 글
| [Linux] ssh port 포트 변경 방법 (0) | 2018.11.28 |
|---|---|
| [Linux] btmp 파일은 무엇일까? 리눅스 로그 관리 삭제 (2) | 2018.11.28 |
| [linux] 리눅스 find 명령어로 0바이트 파일 또 비어있는 폴더 디렉토리 찾아서 확인 및 삭제 (0) | 2018.01.18 |
| [Linux] ssh의 특정 ip 접속 거부 제한 차단 및 허용 설정 (0) | 2017.04.05 |
| [Linux] 특정 파일이름 확장자 이외의 파일 find 명령어로 찾기 (0) | 2017.03.23 |
| Ubuntu의 build-essentials 을 yum 으로 하는 방법 (1) | 2016.01.15 |
| [Linux] 리눅스 숨겨진 파일 보기 (0) | 2010.12.21 |
| [Linux] 리눅스 프로세스 죽이기 (0) | 2010.12.21 |
| [Linux] 리눅스에서 DNS(도메인네임서버) 설정 하기 (0) | 2010.12.21 |
| [Linux] 리눅스 CentOS 소스 컴파일 할 때 에러 gcc 해결 (0) | 2010.12.20 |