요즘 ssh dictionary attack 이 심합니다. (정확히 말하자면.. ssh brute force attack 이라고 하더군요 ^^) 일전에 제 blog 에서 geoip 를 이용해서 막는 방법을 소개를 했었습니다.

외국에서의 공격, 특히 중국에서의 공격을 막아서인지 현저하게 시도는 줄었지만.. 그래도 3일에 한번꼴로 국낸 IP (특히 대학이나 초등학교 서버에서..) 에서 5000번 이상의 scan 을 하고 지나가는 꼴을 보니 또 오기가 생기기 시작했습니다.

설마 막는 방법에 없겠느냐는 생각에 iptables 의 extension 을 탐색하던 중 ipt_recent extension 을 발견 했습니다. recent extension 은 iptables 의 기본 extension 이므로 따로 빌드할 필요도 없고, seconds 별 hitcount 를 계산할 수 있는 듯 합니다.

아래의 예제를 보죠. (oops.org 에 기본으로 적용한 rule 입니다.)



1. 처음에 22 번으로 NEW state 의 session 을 SSHSCAN 이라는 이름으로 list 를 만듭니다.
2. 세션당 60 초 동안 7 번의 접속은 통과를 시키고 8번째 접속이 발생하면 60초 동안 이 세션에 대하여 block 합니다.
3. 그리고 SSH_Scan 이라는 prefix 로 logging 을 합니다.

문서들이 영어라서.. 결국에는 습관대로 대충 읽고 반영해서 보자는 식으로 하게 되어서 정확한 정보는 되지 않을 것 같습니다. 정확한 정보를 얻고 싶은 분들은.. 다음의 링크를 참조 하십시오.

http://snowman.net/projects/ipt_recent/
http://users-x.757.org/~joat/wiki/index.php/Slowing_down_SSH_brute_force_attacks
http://la-samhna.de/library/brutessh.html

전 영어가 딸려서 ^^; 정확한 설명을 알려 주시면 고맙겠습니다. (아 이 귀차니즘의 압박이여.. -_-;)

P.S
안녕 리눅스를 사용하시는 분들은 oops-firewall 을 5.0.0 으로 올리시고 위의 rule 을 user.conf 에 반영하시면 됩니다. 5.0.0 부터는 ALLOWALL 이 user pre command 보다 먼저 실행이 되기 때문에 ALLOWALL 에 등록된 site 는 최소한 이 rule 에 영향을 받지 않습니다.

12월 19일 (월) 에 Neowiz Developer's Day 2005 라는 사내 행사를 가졌습니다. 전 목표 수행 때문에 가고 싶지는 않았는데, 강제 출석이라 어쩔수 없이 가고 말았습니다. (출석 부르지 않더군요 --;)

전반 section 에서는 "우리 뭐 했다" 라는 자랑식이라서 솔직히 따분했습니다. 졸렸고.. 뭐 획기적인 것도 아니고.. 이건 생각했던 바가 아니다.. 라는 생각이 들더군요. 솔직히 좀 졸기도 하고 사진 찍고 놀고, 휴대폰 게임 하고..

같이 앉았던 하늘이는 다른 사람들 휴대폰을 강탈해서 Game 에 열중하고, 사진 찍을때만 "이쁜척" :-)

coffee break 를 지나고, 후반 section 에서야 드디어 기술적인 부분이 나오기 시작 했습니다. 대충 나왔던 부분이..

1. Neowiz Template system
2. I18N with Unicode
3. AJAX
4. etc.. (아 기억력의 한계.. T.T)



역시 기술적인 부분이 나오니 듣는 것도 한결 편해지고, 눈빛도 초롱초롱 해 지더군요. 시간상의 한계로 그리 썩 좋은 결과를 얻지는 못한 것 같지만.. 그래도 나름대로 찾기 지겨워서 미뤄두고 있던 부분을 낼름 줏어먹은 듯한 기분이 들어 뭔가를 얻었다는 느낌은 들고 있습니다. '줄 때 먹어' 를 잊지 마세요 :-)

지금 회사 입사 하면서.. 어떡하든 IDC 가는 횟수를 최대한 줄이자가 목표였건만.. 12월 들어서 마구 IDC 를 방문 하고 있습니다. 그것도 한번 가면 6시간 이상을 계속 서있게 되는군요. --;

IDC 에 들어가 보신 분들이야 다들 아시겠지만.. 그 엄청난 소음에 작업 끝나고 나올때면 귀가 멍멍하고 계속 바람이 부는 소리가 귀에서 떠나지 않습니다.

12월만 들어서 벌서 6번을 들어갔고.. 아무래도 내일 또 들어가야 할 듯 싶네요. 어찌 이 바닥에서는 IDC 들어가지 않고 처리 가능한 방법이 없을까요 T.T

IDC 에 모니터링 팀도 상주해 있고.. 처리도 다 해 주건만.. 그래도 들어가야 한다는 일이 생긴다는 것은 아무래도 저주라고 밖에 생각이 들지 않네요.

정말 가기 싫다. --;

드디어 Firefox 1.5 가 12월 1일자로 출시가 되었습니다. (우리나라 시간으로는 12월 2일 이겠군요.) 지난 7월 부터 1.5 l10n 작업을 시작한지 어언 5개월 만에 드디어 결과물이 나왔습니다.

고생끝의 결과물이기에, 소식을 보자마자 설치를 해 봤는데, 영 찜찜한 구석이 남아 있습니다. 또한, 출시되지마자 수정본 언어팩도 나왔습니다. QA 때 지적을 해 주셨다면, 이런 반복적인 소모 작업은 필요 없을 수도 있을텐데 말이죠.

어쨌든.. 1.5 는 출시 되었고, 이제 2.0 작업전 충분한 휴식(?)기를 가져야 겠습니다.

MozParty 1.5 는 갈까 말까 고려중입니다. :-)