테스트 사이트 - 개발 중인 베타 버전입니다
SIR

ssh 무차별 로그인 공격 막기

This
프로필 보기이 회원 글보기
 · 20년 전 · 4635 · 5
안녕하세요 후비고닷컴(http://hubgo.com)의 이진명입니다.

ssh의 무차별 공격을 막기위해 시스템의 로그를 자동분석하여

공격을 막아주는 스크립트를 소개합니다.

2005년 2월 8일에 작성한 스크립트로서 이에 관련해

제가 알기론 뻥좀보태서 세계에서 가장 빨리 작성되지 않았나 싶습니다. ㅋ

문자열치환은 스크립트로 치환하도록 하였습니다.
(sed로 안에 포함시킬수 있지만 여러개 만들다 보면.. )

아래의 스크립트를 /etc/cron.hourly에 넣으면 한시간에 한번씩 실행됩니다.

스크립트 생성후

chmod 700 /etc/cron.hourly/ssh_defense.sh

해주셔야 실행됩니다.


잘 쓰셔서 아주 단순한 기법에 해킹당하는 일이 없도록 하세요.. ㅋㅋ

그리고 패쓰워드는 항상 영문과 특수문자의 조합으로..



----------------------------------------------------------------------------------------
vi /etc/cron.hourly/ssh_defense.sh
#!/bin/sh
#############
# 2005/02/08
# http://hubgo.com 이진명
# 아래 ch.sh라는 치환스크립트를 /var/log 에 옮겨놓아야 합니다.
# cron.hourly 에 등록하여 사용합니다.
# 제가 알기론 아래 링크 사이트도 후비고닷컴보다 릴리즈 날짜가 느리고
# 세계최초쯤 되지 않을까 싶네요..
#############
cd /var/log
grep "anonymous" secure | egrep -v '127.0.0.1|218.54.191.21|220.95.230.222' | awk '{ print $17}' > anonymous_login
grep "no such user" secure | egrep -v '127.0.0.1|218.54.191.21|220.95.230.222' | awk '{print $17}' >> anonymous_login
grep illegal secure | egrep -v '127.0.0.1|218.54.191.21|220.95.230.222' | awk '{print $12 $13 }' > illegal

## 문자 치환작업
sh ch.sh '\]' '' anonymous_login >> temp2
sh ch.sh '\[' ALL: temp2 > anonymous_login
sh ch.sh from ALL: illegal >> anonymous_login

sort anonymous_login | uniq >> /etc/hosts.deny
sort /etc/hosts.deny | uniq > temp
cat temp > /etc/hosts.deny

 
 
 

vi /var/log/ch.sh
------------------------------------------------------------------------------------
#!/bin/bash
### ch.sh
# "subst", 파일에서 어떤 패턴을 다른 패턴으로 바꿔주는 스크립트.
# 즉, "subst Smith Jones letter.txt".

ARGS=3
E_BADARGS=65 # 필요한 인자가 빠져있음.

if [ $# -ne "$ARGS" ]
# 스크립트로 넘겨진 인자의 갯수를 확인(항상 이렇게 하세요).
then
echo "사용법: `basename $0` old-pattern new-pattern filename"
exit $E_BADARGS
fi

old_pattern=$1
new_pattern=$2

if [ -f "$3" ]
then
file_name=$3
else
echo "\"$3\" 은 없는 파일입니다."
exit $E_BADARGS
fi

# 여기가 가장 중요한 부분입니다.
sed -e "s/$old_pattern/$new_pattern/g" $file_name
# 's'는 sed의 치환(substitution) 명령어이고,
# /pattern/ 은 주소 매칭을 실행시킵니다.
# 전역(global) 플래그인 "g"를 쓰면 단지 첫번째 일치하는 $old_pattern만
#+ 치환시키지 않고 각 줄에서 일치하는 "모든" $old_pattern을 치환시킵니다.
# 더 자세한 설명은 'sed' 문서를 읽어보세요.

exit 0 # 스크립트의 실행이 성공이라면 0을 리턴.


 
 

그리고 마지막으로.... 하나더..

레드헷계열 리눅스는 설치후 아무런설정을 하지 않았다면

root로 ssh를 로그인 가능합니다.

그러므로 root의 직접적인 ssh login은 막고

일반계정으로 접속후 su - root 를 통해 root권한을 획득하여 작업하도록 합니다.

ssh 설정화일을 아래와 같이 열어 PermitRootLogin yes를 no로 변경합니다.


vi /etc/ssh/sshd_config
PermitRootLogin no


변경후 /etc/init.d/sshd restart 하여

sshd를 재시작 해줍니다.

여러분은 이것으로 기초적이지만 강력한 보안설정을 하셨습니다.


참고로 OS별 로그가 다를수 있습니다.
(Invalid, illegal 등)

자세한것은 제 홈페이지로 로그와 함께 문의주시면 수정해드리겠습니다.

감사합니다.

[이 게시물은 관리자님에 의해 2011-10-31 17:30:25 Apache에서 이동 됨]
목록
이전글 다음글

댓글 작성

댓글을 작성하시려면 로그인이 필요합니다.

로그인하기

댓글 5개

This
프로필 보기이 회원 글보기
 20년 전
FeLLEN (2005년 09월 01일 오전 11:29)
sed: -e expression #1, char 10: unterminated `s' command
실행했더니 이런 오류가 나는 군요..ㅜ.ㅡ


--->>

이진명 (2005년 09월 02일 오후 08:08)
아~ 무슨 에러인지 알겠습니다.
저도 시스템에 따라 그런에러가 발생한적이 있었는데..
수정을 안했군요... ㅋㅋ

치환부분을 아래와 같이 수정하시면 될듯 싶습니다.
그래도 안되시면 다시 문의주세요.. ^^
http://hubgo.com

sh ch.sh '\]' '' anonymous_login >> temp2
sh ch.sh '\[' ALL: temp2 > anonymous_login
sh ch.sh from ALL: illegal >> anonymous_login
This
프로필 보기이 회원 글보기
 20년 전
궁금해서 합니다 위의 스크립이 뭐에 대한 스크립인지? 어떤스토리인지요??? 막는것같긴한데..

어떠게 막냐는거죠?

또 cs.sh 파일아래

exit 0 # 스크립트의 실행이 성공이라면 0을 리턴. <--- 이부분이

cs.sh 파일에 포함되는것인가요? 띄어져 있어서 포함되는지 안되는지 잘모르겠네요 ..
hanpedro
프로필 보기이 회원 글보기
 20년 전
좋은 팁을 공유해주셔서 감사합니다.
호야
프로필 보기이 회원 글보기
 19년 전
가장 확실하면서 쉬운 방법, 포트를 바꾸세요.. 22번에서 놀고 있는 다른 포트로 바꾸어 주면 아마 99프로 고피할 수 있을 겁니다..
만약 알려진다면 또 바꾸면 되구요..
cmpanel
프로필 보기이 회원 글보기
 19년 전
1시간 간격이면 수천, 수만번 공격을 할 수 있는 충분한 시간입니다. 포트변경역시 의미가 없습니다.

1) /etc/hosts.deny 을 열어서 아래처럼 변경하여 줍니다. sshd: ALL 은 모든 ssh 로그인을 금지한다는 것입니다. 설사 아이디 및 비번이 맞아도 접근이 되지 않습니다.

#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap! sshd : ALL
sshd : ALL

2) 다음에 /etc/hosts.allow 을 열어서 아래처럼 변경합니다. 아래에 등록된 IP 만 접속이 가능합니다. 그 외는 접속자체가 불가 합니다.

#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
sshd : 111.111.111.111: ALLOW
sshd : 111.111.111.112: ALLOW
sshd : 111.111.111.113: ALLOW

3) 위처럼 한 다음 아래처럼 ssh 를 재 시작하면 완료됩니다

# service sshd restart


=======================================
참고사항: 후비고닷컴의 이진명 님의 스크립을 crontab 에서 1분이든.. 간격을 줄이면 좋습니다.

또한 apf (advanced policy based firewall ) 과 bfd (brute force detection) 을 적절히 사용하면 Software 방화벽 및 매우 진보된 SSH 공격뿐 아니라 Web, FTP 등도 같이 막을 수 있습니다.

게시글 목록

번호 제목
8947
기타 Microsoft Jscript Reference 2
8946
기타 Core JavaScript Guide
8945
기타 Netscape Navigator 4 Object Road Map
8939
JavaScript 테이블 셀에 링크하는법 & 마우스 오버 5
8930
JavaScript a href 링크로 라디오박스 선택 8
8924
기타 레이어 팔레트 opacity 값 쉽게 조정하기 5
8922
기타 eaccelerator 소개 1
8914
Flash Flv 플래쉬 플래이어 7
8909
기타 효과가 들어간 레이어를 일반 레이어로 바꾸기 4
8907
JavaScript home, end키 1
28496
HTML 특수문자 모음 5
8906
JavaScript 콘솔 화면 보호기 끄기
8905
기타 히스토리 지우는것 막기
8903
JavaScript VSFTP에서는 PUBLIC_HTML에.... 1
28495
HTML mqueue 설정(센드메일속도 UP)
8901
기타 서버보안에 강하다는 MyServerCop. 1
8894
MySQL apache + mysql + php 패키지 lampp를 소개합니다. 6
8893
기타 최근 리눅스 서버 기본 보안 정책...리눅스를 운영하시는 분은 꼭 필독하시고 적용해 주세요.^^
8888
기타 출생년도 4자리를 이용하여 나이 환산하기 4
8885
기타 클릭하는 링크 점선 없애기 2
8883
MySQL [펌]mysql매뉴얼 1
8881
JavaScript 미리보기 소스 1
8872
Flash 물결치는 모습 8
8868
기타 sendmail을 telnet상에서 곧바로 테스트 할 때 사용 3
8856
기타 이미지 없이 모서리 라운드 테이블 만들어 최신글 구현 11
8853
기타 액션 스크립만으로 윈도우창 띄우기 2
8852
기타 링크에 마우스를 대면 따라 떠 있는 레이어(풍선형 도움말)
8849
JavaScript 403 Forbidden error 생길때 2
8847
기타 [HTML] 기본 구조 1
8842
기타 사진 올라가는 효과~ 4
8838
기타 iframe 사이즈 페이지에 맞게 자동 조절 3
8833
기타 타이틀바에도 시계넣기=33 4
8829
기타 필터 이용하여 테이블에 그라데이션 효과 주기(I.E 6.0 전용) 3
8824
기타 타입 툴사용시 팁 4
8821
JavaScript 쓸모있는 'border-collapse' 속성 2
8819
Linux 페도라 리눅스 시디1장으로 설치하기 1
8818
MySQL [펌] MySQL 3.23.52 -> 4.0.17 버전으로 업그레이드 설치하는법
28492
HTML IE - 스크롤바 색상의 정확한 적용 2
8817
기타 Warning: Illegal offset type in /home/account/xxx.php on line n
8814
기타 게시판 이나 테이블 <TD>값에 배경이미지 고정하기 2
28490
HTML HTML Utopia:Designing Without Tables Using CSS 1
8811
기타 이미지를 미리 불러올(Preload) 필요가 없는 CSS Image Rollover 2
8810
JavaScript 움직임이 자연스러운 자바시계
8809
기타 당신의 홈피에 머문시간을 상태표시줄에 보여주기.
8805
JavaScript 마우스 cursor 3
8804
기타 그림자가 있는 글자
8801
기타 6개국 시간 2
8797
기타 css_table 1
8799
기타 Re: css_table 1
8795
기타 iframe 의 크기를 자동으로 지정 1
8789
JavaScript 일러스트에서 한글 자판이 안먹힐때. 5
8784
Flash 이미지 없이 CSS로 둥근 모서리 구현하기 4
8782
기타 간결,빠름,불여우,익스 : 레이어 메뉴 1
8772
기타 한글 php 매뉴얼 chm 9
8771
기타 나머지 &#53829;들~~
28488
HTML 패스선택툴 1
8768
기타 힐링브러쉬&브러쉬 툴 2
28486
HTML 작업내역 브러쉬 1
8765
기타 올가미 툴 2
8761
기타 분할도구 3
8756
기타 마술봉&잘라내기 4
8751
기타 도장툴 4
28480
HTML 닷지툴 5
8746
JavaScript 이동툴 4
8739
기타 선택툴 6
8735
기타 뇌입어에서 뽀려온 스크롤 3
28476
HTML 일러스트 메뉴얼. 3
8726
JavaScript php 기초 함수 예문 모음 8
8725
PHP 접속자의 브라우져와 OS정보를 알려주는 함수입니다.
8718
Flash 간단한 플래시 매뉴 6
8710
기타 포토샵 기본팁 7
8703
JavaScript 모질라/파이어폭스에서 둥근 모서리 처리 6
8700
JavaScript 이미지 도구모음 표시안하기(IE용) 2
8697
기타 테이블 셀 배경이미지 정렬(파폭호환) 2
8694
기타 IMG사용시 이미지가 없으면 나오는 X대신 다른이미지넣기 2
8693
기타 새창열어서 내용 적어주기
8692
기타 포트를 이용한 버츄얼 호스팅 기능하기
8691
기타 아파치 VirtualHost
8689
기타 아파치에서 한글명으로 된 파일을 실행시키기 1
8686
JavaScript 포토샵 액션 AutoGaussian-피부질감 수정 2
8680
Flash 토수니 5
8678
기타 괜찮은 css 에디터 1
8671
기타 포토샵 인터페이스 이해하기 1 6
8670
JavaScript 아파치 웹서버 프로세스 갯수 늘리기
8667
기타 역시 첫 게시물... 일러스트 단축키 2
28465
HTML 첫 게시물..^^ 포토샵 단축키 10
8665
JavaScript css를 이용한 기본적인 레이아웃.. 1
8664
MySQL mysql 파일시스템 체크하는 쉘스크립트 - 펌
8663
기타 불여우에서도 되는 떠있는 레이어
8662
JavaScript 불여우에서도 되는 서브메뉴가 있는 메뉴 #2
8661
기타 불여우에서도 되는 서브메뉴가 있는 메뉴 #1
8660
기타 Automatically Jumping To The Next Field
8659
기타 learning the shell : 한파일을 subdirectory에 단번에 추가하자!!!
8657
MySQL 데이터베이스 를 사용자 계정에 설치하기 1
8656
MySQL gd+jpg+png+tiff rpm 설치..
8641
MySQL php함수정리(장난 아니게 기네요..--;; ) 14
8628
MySQL php 오류정리 12
8627
기타 실시간 카운트 다운 시계
8626
기타 사용자 계정 삭제
8625
JavaScript chmod 허가권변경
이전 다음
전체 목록