이 글에서 이어지는 내용이다. fail2ban을 통하여 ssh 비밀번호를 3번 틀리면 120분 밴하도록 설정했다. 그런데 해커들은 그것을 뚫고서 계속해서 공격을 한다. (?) 3일간 31357번의 로그인 시도가 존재해 일주일 간 총 64322번이다. github에 검색을 해보니 fail2ban을 우회할 수 있는 툴을 발견했다. 이론상 fail2ban을 우회할 수 있는 방법이 존재하는 듯 하며 fail2ban을 통한 해커 차단을 실패한 경우도 찾아볼 수 있었다.(1 2) fail2ban 서비스를 내리고, 특정한 ip 대역 이외에는 서버에 접근조차 못하도록 하는 방식을 선택해야겠다. 그리고 실제로 기능이 잘 작동하는지 보기 위해 /var/log/btmp를 빈 파일로 만든다. ...
로그인 시도 기록 확인 sudo lastb lastb 파일은 /var/log/lastb 파일을 뜻하는데, 그냥 sudo cat /var/log/lastb를 하면 이상한 문자들까지 같이 나와서 보기가 상당히 어렵다. 따라서 위의 명령어를 사용해야 한다. 그런데 로그인 시도 기록이 너무 많아서 터미널에서 한번에 보기 어렵다면 less 명령을 활용하자. 방향키로 탐색하며 로그를 볼 수 있다. sudo lastb | less 로그인 시도 기록이 몇 건인지 확인하고 싶으면 줄 수를 알려주는 명령인 wc를 활용하자. sudo lastb | wc -l SSH 접속 화이트리스트/블랙리스트 설정 sudo nano /etc/hosts.allow # /etc/hosts.allow sshd: 123.123.123.123 sshd: 123.10.0. hosts.allow 파일에 위와 같이 작성하면 123.123.123.123과 123.10.0.XXX 대역에서만 로그인할 수 있다. ...