뭘 이런걸..

Posted
Filed under Tech/안녕리눅스
이미 추가된지는 오래된 패치들이기는 하지만, 따로 announce를 하지 않아 모르는 분들이 많은 안녕 리눅스만의 패치에 대한 글들을 포스팅 해 보려고 합니다.

오늘 첫번째로는 안녕 리눅스에 포함된 openssh의 추가 사항을 보도록 하겠습니다.

1. Skip host key check

보통 ssh로 접속할 때 ssh client는 접속할 host에서 host key를 받아서 ~/.ssh/known_hosts 파일에 기록을 해 놓습니다. 이 이유는, 오타로 다른 호스트에 접근을 하거나 또는, 어떤 host가 자신을 접속하려는 host라고 속이는 것을 방지하기 위함이 목적입니다. 그러므로 접근 하려는 호스트가 known_hosts 파일에 등록이 되어 있지 않을 경우 다음과 같이 confirm을 하게 됩니다.

[root@work ~]# ssh domain.com
The authenticity of host 'domain.com (12.0.0.1)' can't be established.
RSA key fingerprint is fe:de:8d:34:27:82:7c:42:09:16:0f:34:33:dd:72:d9.
Are you sure you want to continue connecting (yes/no)?


참 좋은 기능임에는 틀림이 없으나, ssh notty를 이용하여 여러 서버에 동일한 명령을 내리기 위해서 script같은 것을 사용할 때, 이게 걸리면 무지하게 불편합니다. 300대의 서버에 명령을 내리려면.. 300번 엔터를 입력해야 하니까요...

그래서 안녕 리눅스에서는 -H 옵션을 제공해서, known_hosts에 등록이 되어 있지 않으면, 물어보지 않고 등록을 하고, confirm 부분을 skip 할 수 있도록 지원하고 있습니다.

[root@work ~]# ssh -H domain.com
LInux AnNyung release 1.3R5 (Indongcho)
Login domain.com in 20:04 on Friday, 02 October 2009
root@domain.com's password:


키 등록을 해 놓았다면, 패스워드도 물어보지 않고 로그인이 되겠죠. :-)


2. 한글 도메인 사용

안녕 리눅스에는 multibyte domain에 대한 패치가 많이 되어 있습니다. 보통 multibyte 도메인을 사용하기 위해서는 브라우저 외의 경우에는 puny code로 변환된 도메인을 사용해 주어야 합니다. 하지만 안녕 리눅스의 왠만한 application(nslookup, dig, host, ssh 등..)들은 내부적으로 패치가 되어 있어 multibyte domain을 직접 사용할 수 있습니다.

[root@work ~] ssh 안녕리눅스.com
LInux AnNyung release 1.3R5 (Indongcho)
Login 안녕리눅스.com in 20:04 on Friday, 02 October 2009
root@안녕리눅스.com's password:



3. sftp 에서 readline 제공

안녕 리눅스의 sftp에는 readline 기능이 패치되어 있습니다. sftp 접속을 하신 후에, 디렉토리 이동을 하신 후에, 화살표 상/하를 움직여 보시면, 이전에 실행한 명령의 history를 보실 수 있고, 실행하실 수 있습니다. tab기능도 구현을 하려고 했으나, 쉽지 않더군요. 그래서 이건 보류해 놓았습니다.


3. Banner Magic Cookie 지원

openssh는 sshd_config의 Banner 에 지정된 파일을 login전에 출력해 주며, login 후에는 /etc/motd파일을 출력합니다. 기본적으로 original openssh는 magic cookie를 지원하지 않습니다만, 안녕 리눅스의 경우

[root@work ~]# ssh domain.com
LInux AnNyung release 1.3R5 (Indongcho)
Login domain.com in 20:04 on Friday, 02 October 2009
root@domain.com's password:


와 같이 Banner에 지정된 /etc/issue.net과 /etc/motd 에서 magic cookie를 사용할 수 있도록 수정이 되어 있습니다. 지원하는 Magic Cookie의 경우는 다음과 같습니다.

\t, \d - 현재 시간과 날자를 출력
\h, \n - 시스템의 노드명(FQDN)을 출력
\s - 운영체제의 이름을 출력
\m - 하드웨어의 유형을 출력
\r - 운영체제의 릴리즈를 출력
\v - 운영체제의 버전을 출력
\\ - '\' charactor 를 출력



이상 오늘은 안녕 리눅스가 다른 배포본과 어떤 차이점이 있는지 포스팅을 시작했으며, 그 첫번째로 openssh를
살펴 보았습니다. 시간이 나는대로 계속 다른 기능을 소개하도록 하겠습니다.
2009/10/02 20:33 2009/10/02 20:33
Posted
Filed under Tech/안녕리눅스
ㅎㅎ 정말 정말 무안하기 짝이 없군요. 2년전에 1.3 R2를 릴리즈 하면서 무안하다는 글을 올렸었는데 이젠 R5까지 나와 버렸습니다. :-)

1.3 R5는 kernel 보안 버그 fix하는 검해서 몇몇 드라이버들을 업데이트 하여 installer에 반영한 것이 다 입니다. 특별히 별 내용은 없고, 최신의 벤더 장비들을 지원하기 위함 입니다. (HP의 G6 시리즈들은 HP에서 더이상 2.4 driver를 지원하지 않아서 꽁수로 해 보았는데, 지원 여부는 저도 테스트를 못해봐서 확신이 없습니다.)

1.3 R5에 대한 자세한 내용은 http://annyung.oops.org/?m=update&p=1.3&t=1250715038&n=251 를 참고 하십시오.

어쨌든 안녕 1.x 는 본의 아니게 장수 하는 군요.

정말로 1.x 는 1.3 R5가 마지막 릴리즈 입니다. 정말로 더이상 추가 H/W 지원은 없을 예정이며, 보안버그 업데이트만 지원을 할 예정입니다.

더불어 2.0이 궁금하신 분들을 위하여 한마디 하자면, 언제 나오느냐? 저도 모릅니다. 다만 2.0 작업은 시작 되어서 현재 installer 수정 작업을 진행 중입니다. 빨리 하면 2-3개월 안에 작업이 마무리 가능할 듯 싶으나, 회사가 저를 놀리지 않는 관계로 좀 지연이 많이 되고 있습니다. 올 12월에 릴리즈 하는 것이 목표 입니다.

P.S.
1.3 R5의 code name은 Indongcho 입니다. 아실 분들은 아실 거라고 생각하고 의미는 적지 않겠습니다.
2009/08/20 05:46 2009/08/20 05:46
Posted
Filed under Tech/안녕리눅스
잠시 한눈파는 사이에, 한달전에 proftpd 1.3.1이 릴리즈 되었습니다. 그래서 부랴부랴 Korean User Group 버전을 열심히 릴리즈 했습니다. (http://proftpd.oops.org)

이번 버전에서는 내부 API 가 변경된 부분이 있어, 기존의 패치들을 맞춰주느라 좀 귀찮았습니다. T.T

안녕 리눅스 1.3.0a 패키지에 포함되었던 sendfile API 사용시에 scoreboard 에 파일 전송량과 파일 전송률이 나오지 않던 부분을 수정을 했었는데, 이번 버전에서 이 기능을 좀더 향상을 시켜 보았습니다. 이전 버전에서 sendfile 로 넘기는 count 를 10Mbyte 로 고정을 해서, 회선이 빠르고 파일이 클 경우에는 출력을 잘 했지만, 회선이 느리거나 파일이 작을 경우에는 여전히 제대로 나오지를 않았었는데, 이번 버전에서는 제일 처음 sendfile 로 넘기는 값을 지시자로 만들고, 이 넘긴 값을 측정하여 클라이언트의 회선 속도를 보정하여 sendfile 로 넘기는 값을 유동적이게 변경을 했습니다. 이제 회선 속도나 파일 크기에 별로 구애받지 않고 출력이 잘 되는 듯 싶습니다.

1.3.1kr 의 릴리즈 노트는 다음과 같습니다.

- added 1.3.1 official fix bug2988: mod_wrap2_file ignores "ALL" keyword bug2989: Unable to authenticate users if RadiusUserInfo is not con... bug2990: TLSCryptoDevice does not work bug2992: The %f LogFormat variable expanded improperly to "-" for ... bug2993: Unable to compile 1.3.1 on Debian unstable/amd64 bug2995: The %f LogFormat variable expanded to same file for RNFR ... bug2996: Requirement for same OpenSSL header, library version in m... - Deprecate DisplayFirstChdir. Replace to DisplayChdir on proftpd.conf - add SendfileSize directive see also http://proftpd.oops.org/reference.php?mode=detail&key=SendfileSize
2007/11/14 04:30 2007/11/14 04:30
Posted
Filed under Tech/안녕리눅스
script 작업을 하다 보면 ssh client 가 host key 를 묻거나 변경된 host key 때문에 script 가 수행 중단되고 먹통이 되는 짜증(?) 나는 경우를 만난적이 많으실 겁니다.

저 역시 이런 경우를 많이 겪었으며, 이 때문에 rsh 을 사용하기도 하고 그랬습니다만.. 이런 불편함을 겪은 사람이 나 뿐은 아니겠지 생각하고 구글신께 열심히 갈구를 해 봤습니다만, 검색실력의 미천함 때문인지 아니면, 정말 이런 패치를 만든 사람이 없는 것인지 찾을 수가 없더군요.

찾아지면 제 작업이 헛 수고가 될지 모르니.. 제발 한 사람이 없기를 바라는 수 밖에 없을 듯 싶습니다. 뭐 각설하고,

shell> ssh -K oops@oops.org


와 같이 -K 옵션을 주면 아예 호스트 키 체크를 skip 해 버리는 패치를 AnNyung LInux 에 반영하여 openssh 를 업데이트 했습니다.

다른 배포본에서는 다음의 패치를 이용하실 수 있습니다. AnNyung LInux 의 openssh 4.6p1-2 에 적용된 패치를 첨부합니다. pure openssh 4.6p1 에서는 패치 파일로 패치가 가능 합니다.


2007/05/22 03:07 2007/05/22 03:07
uriel

host가 변경되면 어쩔 수 없지만 ssh keychain으로 해결이 불가능한가요?

김정균

keychain 은 인증시에 필요한 key 를 관리하는 것 아닌가요? 이 패치의 요점은 host key check 를 의미합니다.

즉, host key 가 등록되지 않은 서버에 접속 할때

[root@work ~]# ssh mirror.oops.org
The authenticity of host 'mirror.oops.org (210.124.122.30)' can't be established.
RSA key fingerprint is 77:d3:94:a9:bf:2e:ab:03:a6:ba:40:2f:8d:d8:99:33.
Are you sure you want to continue connecting (yes/no)?

과 같이 confirm 을 해야 하는 상황을 말하는 겁니다.

Posted
Filed under Tech/안녕리눅스
아하~ 무안하게도 1.3 R2 가 또 릴리즈 되고 말았습니다. 이제는 낯짝이 두꺼워져서 민망하지도 않습니다. :-)

1.3 R2 는 전체적으로 버전이 좀 낮은 패키지들의 판올림이 있었으며, kernel 업데이트가 있습니다. 별로 쓸 내용도 없네요 :-)

그냥 앗싸! 빨리 2.0 을 진행하자..

자세한 사항은

http://annyung.oops.org/?m=update&p=1.3&t=1179341954&n=68
2007/05/17 05:30 2007/05/17 05:30
Posted
Filed under Tech/안녕리눅스
Linux 2.4 부터 sysctl 에서 관리를 할 수 있었던 tcp_timewait kernel parameter 가 제거가 되었습니다. 즉, TIME_WAIT 이 kernel source 내의 tcp.h 에서

#define TCP_TIMEWAIT_LEN (60*HZ) /* how long to wait to destroy TIME-WAIT * state, about 60 seconds */


와 같이 static 하게 지정이 되도록 변경이 되었습니다. TIME_WAIT 관련하여 검색을 해 보면.. 거의 대부분 관련이 없는 tcp_fin_timeout 값을 줄이라는 식의 글들이 많고, 가끔.. TCP_TIMEWAIT_LEN 의 값을 수정하라는 문서들이 있더군요. (물론 한글 문서로는 이런 글은 못찾았습니다. ^^)

하지만, TCP_TIMEWAIT_LEN 의 값이 다른 값을 생성하는데 꽤 많이 쓰이는 관계로 이 값을 수정하는 것은 조금 애매해서 TIME_WAIT 에만 적용될 수 있도록 패치를 해 보았습니다. 또한, TIME_WAIT 을 static 하게 수정해서 빌드를 하면 그때 그때 커널이 달라져야 할 수 있어서 아예 sysctl 에서 관리할 수 있도록 수정했습니다. 다음 패치 파일을 받아서 적용하여 빌드 하시면 sysctl -a 에서 tcp_timewait 항목을 찾으실 수 있습니다.

tcp_timewait 을 0 으로 지정을 하면 기본값인 TCP_TIMEWAIT_LEN (60초)를 사용하게 되게 되어 있으므로, 최소값은 1초가 됩니다.


oops-2.4.34-sysctl-timewait.patch.gz

kernel 2.4.34 patch (AnNyung)





2.6.21.1 의 Vanilla kernel patch 는 실제로 빌드를 해 보지 않았습니다. 그리고 tcp_minisock.c 가 많이 변경이 되어 제대로 빌드가 될지 그리고 제대로 작동이 되는지 테스트를 해 보지 않은 것임을 알려 드립니다. 이 패치를 사용함에 있어 문제 발생시에 저는 책임을 지지 않습니다!
2007/05/16 18:46 2007/05/16 18:46
Posted
Filed under Tech/안녕리눅스
먼가 영업 전략이 있는 것 같은 타이틀.. 흐흐

안녕 리눅스의 존재감에 대해서 생각을 해 보았습니다. 처음에는 Redhat 7.x 가 배포본중 가장 마음에 들었고, 그 중에서 마음에 들지 않던 부분을 수정하면서 명맥을 이어보자는 것이 시작이었으나, 이제는 너무나 낡아서 구린 glibc 와 커널 2.4 의 유지 압박..

2.6 기반의 안녕 2.0 도 준비를 해야겠고.. 그러자니 2.4 기반의 1.x 가 소홀히 될지도 모르겠고.. 존재감에 대한 압박이 생기기 시작하더군요. 그래서 요즘 하는 짓이 KLDP 시스템 개편에 맞추어서 안녕 리눅스를 가지고 Bridge 서버나 VPN 전용 서버로 쉽게 사용할 수 있도록 하면 어떨까를 생각해 보게 되었습니다.

Bridge 는 준비는 되었으나 환경 구성을 만들기가 어려워 확인 작업이 지연이 되고 있고, 현재는 KLDP 에 VPN 을 붙이는 작업을 하고 있습니다. VPN 선택에는 두가지를 할 수 있으며 각각 장단점이 있더군요. 일단 공개된 VPN 으로는 OpenVPN 과 poptop (PPTP 방식) 이 대세 입니다. 그 외에도 SSL VPN 등이 있기는 한데, 접근하기가 쉽지 않고 자료가 별로 없습니다. 이 둘의 특징을 보자면..

먼저 poptop 의 경우 Windows 에서 따로 클라이언트를 설치할 필요 없이 사용할 수 있다는 장점이 있습니다. 즉 서버쪽에서만 설정을 해주고, 클라이언트에서는 Windows 의 기본 PPTP client 를 이용할 수 있다는 장점이 있습니다. 또한, 개발 기간이 상당히 길기 때문에 많은 사용자 extension 이 존재한다는 것도 장점입니다.

OpenVPN 의 경우에는 routing 방식이나 bridge 방식을 선택할 수 있다는 장점이 있습니다. L3 기반에서는 routing 방식을 이용하여 쉽게 내부 네트워크와 연결이 가능하며, bridge 방식또한 어렵지 않게 구현할 수 있습니다. 그리고, OpenVPN 의 경우 Bluefish 라는 암호화 알고리즘을 사용하여 보안성을 좀더 높일 수 있습니다. 하지만 단점은 OpenVPN 전용 클라이언트를 설치해야 한다는 점과, PPTP 처럼 여러개의 VPN 을 관리하는 것이 방법이 좀 귀찮습니다.

일단은 OpenVPN 으로 안녕 리눅스에서 VPN 설치를 아주 간단하게 할 수 있도록 준비가 된 상태이며, 현재 PPTP 역시 준비를 하고 있습니다. (PPTP 는 ppp-mpe 라는 커널 모듈이 요구되어 이를 만들고 있습니다. 패치를 많이 해야지 안녕 리눅스에서 제대로 사용을 할 수 있을 것 같군요.)

대충 준비가 되면 AnNyung LInux 의 White Paper 에 문서가 등록이 될 것이고 Packages System 으로 간단하게 설치하고 OOPS-FIREWALL 과 연동하여 내부망 접속을 아주 간단하게 할 수 있도록 할 예정입니다.

이제 비싸고 어려운 VPN 서비스를 대략 200M 정도 사이즈의 작고 앙증맞은 안녕 리눅스로 쉽게 구축하여 보안에 힘을 보태시기 바랍니다.

P.S
다 만들고 홍보를 해야 하는데.. 아직 완성이 되지 않아서 놀림당하는 기분이 들지 않았으면 좋겠습니다. ^^; 대략 문서 만들고 패키지화 하는데 4월 안에는 준비가 될 듯 싶습니다.
2007/03/29 02:12 2007/03/29 02:12
채영진

김정균님께서 패치한 pptpd가 아닌 일반 애들의 경우

<CentOS기준>
echo "ifconfig ppp0 mtu 1500" > /etc/ppp/ip-up.local
chmod 755 /etc/ppp/ip-up.local

해 놓으니 접속할 때 자동으로 mtu값을 바꿔주네요

저 ip-up.local은 뭐 할때 쓰는건가 했었는데
궁금증이 풀렸습니다.

세션하나만 확인해서 다수 접속시에도 정상적으로 되는진 잘 모르겠습니다^^

채영진

네.. pptpd에 원래 mppe-mtu-increased옵션이 있는줄 알았는데

김정균님께서 패치하셨더라구요 우선 openvpn으로 놀고 있고

srpm받아서 패치부분을 확인해보려 합니다^^

매번 감사드립니다.

Zeroidle

이미 다 하셔놓구선요^^

저도 김정균님 따라잡기(?)를 하고 있는중입니다.

openvpn은 괜찮은데
pptp로 연결하면 네이버가 접속이 안되네요

원인을 찾는중입니다.

김정균

naver 에 접속이 되지 않는 문제는 MTU 문제로 알고 있습니다. 아마 구글에서 pptp naver 로 검색하시면 해당 내용을 찾을 수 있을 겁니다.

하도 오래전이라서 기억이 잘 안나는데, 아마도 mppe-mtu-increased (안녕 리눅스의 pptpd 에 패치된 옵션) 으로 처리가 되지 않았었나 기억이 가물가물하게 긴가민가 합니다.

조현철

무척이나 기대됩니다..^^;
감사합니다..

Posted
Filed under Tech/안녕리눅스
안녕 리눅스 1.3 이 드디어 릴리즈 되었습니다. 1월말에 발표되는 듯 하다가, 나름 사정으로 3월까지 미뤄지고 말았습니다.

1.3 에서는 기존에 지원을 하지 못하던 ICH7/8 과 SATA 장비 지원에 중점을 두었습니다. 패키지 준비는 1월말 즈음에 준비가 되었었는데, Packages System 을 운영하는 pkgadm code 가 마음에 들지 않아 재작성을 하려다가 2달을 허비하고 말았습니다.

새로 작성하려다 보니 욕심이 커져서 엄청나게 크고 복잡하게 변해가는 코드를 보고선 이러다간 1.3 릴리즈를 하지 못할 것 같아서, 일단 재작성은 일시 멈추고, 기존의 코드를 급박하게 수정을 하여 릴리즈를 하게 되었습니다.

1.2 R4 가 아니라 1.3 으로 릴리즈 하는 이유는, Packages System 의 기능 추가 때문입니다. 즉, Packages System 의 내부 로직이 변경이 되었기 때문입니다. 가장 중요한 기능으로는 중복 패키지 기능이 지원이 됩니다.

중복 패키지라 함은.. 현재 안녕의 기본 php 는 5.x 를 사용하고 있습니다만, 많은 분들이 5.x 로 오지 못하고 4.x 에 머물러 있는 경우가 많습니다. 이런 경우를 위하여, 안녕의 Packages System 에서 4.x 와 5.x 를 동시에 관리할 수 있도록 지원을 한 것입니다.

그 외에, 1.3 은 1.2 에 있던 보안버그 픽스들이 포함이 되었으며, 1.3 릴리즈와 동시에 1.2 자동 업데이트를 종료할 예정이므로, 1.3으로 업데이트를 하시기를 권장합니다.

정말 1.3 이 1.x 대의 마지막 릴리즈이며, 만 5년이 되는 2007년 6월1일까지 업데이트가 제공될 예정입니다. 간혹 드라이버 지원을 위한 Installer 업데이트가 있을 경우 R1/R2 와 같이 릴리즈 될 수는 있을 겁니다.

많은 분들이 바라시는 2.6 기반의 안녕 2.0 은 3/4 분기 정도를 기약하고 있습니다. 회사가 저를 괴롭히지 않으면 나올 수 있지 않을까 살짝 피해갈 구멍을 만들어 놓습니다. :-)
2007/03/19 16:18 2007/03/19 16:18
Posted
Filed under Tech/안녕리눅스
안녕 리눅스 1.2 R3 가 릴리즈 되었습니다.

커널 2.4 를 사용하는 1.x serise 는 1.2 R2 에서 정리하려고 했는데.. 어찌하다 보니 R3 까지 나오게 되었습니다.

2.0 작업을 전혀 안하고 있는 것은 아니지만, 이제껏은 귀찮아서 밀리고 있었는데, 요즘은 정말 시간이 없어서 밀리는 현상이 발생을 하네요. 올해로 10년차인데.. 이렇게 정신없이 일을 해 보는 것은 처음 인 듯 싶습니다.

1.2 R3 는 커널 보안 업데이트 및, 신규 chipset driver 들이 몇몇 업데이트가 되었습니다. 기존에 installer 에서 잡히지 않던 e1000/tg3/3w-9xxx 등이 새로이 installer 에서 지원이 가능하며, ML 150 에 포함되어 있는 aar81xx SATA driver 의 경우에는 addon 으로 제공을 합니다. (aar81xx 는 지원 장담 못함 --)

뭐 어쨌든.. 또하나의 버전이 릴리즈 되었고.. 언제까지 커널 2.4 를 우려 먹는지 저도 한번 지켜봐야 겠습니다. ^^;

아마.. 장비만 주어진다면.. 2.x 는 어쪄면 x86_64 (AMD Dual Core) 용이 먼저 나오게 될 지도 모르겠습니다.
2006/04/02 05:49 2006/04/02 05:49
골빈해커

여기가 김정균님 블로그였군요. 몰랐네요^^;
안녕리눅스는 정말 감사히 잘 사용하고 있습니다. 특별히 따로 써야 할 기능이 없다면 생각없이 사용할 수 있는 서버로는 최고인 것 같습니다. (칭찬인거 아시죠?;; )
언젠가 돈을 많이 벌게되는 날이 오면 개발용 서버라도 보태드릴께요(...)

Posted
Filed under Tech/안녕리눅스
요즘 ssh dictionary attack 이 심합니다. (정확히 말하자면.. ssh brute force attack 이라고 하더군요 ^^) 일전에 제 blog 에서 geoip 를 이용해서 막는 방법을 소개를 했었습니다.

외국에서의 공격, 특히 중국에서의 공격을 막아서인지 현저하게 시도는 줄었지만.. 그래도 3일에 한번꼴로 국낸 IP (특히 대학이나 초등학교 서버에서..) 에서 5000번 이상의 scan 을 하고 지나가는 꼴을 보니 또 오기가 생기기 시작했습니다.

설마 막는 방법에 없겠느냐는 생각에 iptables 의 extension 을 탐색하던 중 ipt_recent extension 을 발견 했습니다. recent extension 은 iptables 의 기본 extension 이므로 따로 빌드할 필요도 없고, seconds 별 hitcount 를 계산할 수 있는 듯 합니다.

아래의 예제를 보죠. (oops.org 에 기본으로 적용한 rule 입니다.)

# ssh buste attack rule %-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSHSCAN %-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update \ --seconds 60 --hitcount 8 --rttl --name SSHSCAN -j LOG --log-prefix SSH_Scan: %-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update \ --seconds 60 --hitcount 8 --rttl --name SSHSCAN -j DROP


1. 처음에 22 번으로 NEW state 의 session 을 SSHSCAN 이라는 이름으로 list 를 만듭니다.
2. 세션당 60 초 동안 7 번의 접속은 통과를 시키고 8번째 접속이 발생하면 60초 동안 이 세션에 대하여 block 합니다.
3. 그리고 SSH_Scan 이라는 prefix 로 logging 을 합니다.

문서들이 영어라서.. 결국에는 습관대로 대충 읽고 반영해서 보자는 식으로 하게 되어서 정확한 정보는 되지 않을 것 같습니다. 정확한 정보를 얻고 싶은 분들은.. 다음의 링크를 참조 하십시오.

http://snowman.net/projects/ipt_recent/
http://users-x.757.org/~joat/wiki/index.php/Slowing_down_SSH_brute_force_attacks
http://la-samhna.de/library/brutessh.html

전 영어가 딸려서 ^^; 정확한 설명을 알려 주시면 고맙겠습니다. (아 이 귀차니즘의 압박이여.. -_-;)

P.S
안녕 리눅스를 사용하시는 분들은 oops-firewall 을 5.0.0 으로 올리시고 위의 rule 을 user.conf 에 반영하시면 됩니다. 5.0.0 부터는 ALLOWALL 이 user pre command 보다 먼저 실행이 되기 때문에 ALLOWALL 에 등록된 site 는 최소한 이 rule 에 영향을 받지 않습니다.
2005/12/23 04:16 2005/12/23 04:16

요즘 ssh dictionary attack 이 심합니다. (정확히 말하자면.. ssh brute force attack 이라고 하더군요 ^^) 일전에 제 blog 에서 geoip 를 이용해서 막는 방법을 소개를 했었습니다. 외국에서의 공격, 특히 중국에서의 공격을 막아서인지 현저하게 시도는 줄었지만.. 그래도 3일에 한번꼴로 국낸 IP (특히 대학이나 초등학교 서버에서..) 에서 5000번 이상의 scan 을 하고 지나가는 꼴을 보니 또 오기가

sizone

포트를 바꾸세요 ㅡ_ㅡ;;;

김정균

사용하기가 불편하죠. 그리고 요즘 변형된 bot 들은 port scan 까지 하는 경우도 있습니다. :-)

suspec

잘 보았습니다. 출처 밝히고 퍼가도 되나요?

김정균

출처를 밝히시면 상관 없습니다.

ai

어떤 경우에는 이 정책을 적용한 상태로 3주 정도가 지나면 정상적인 동작을 하지 않는다는 보고가 있습니다.

http://lists.debian.org/debian-firewall/2006/03/msg00017.html

김정균

kernel 2.6 만 해당되네요. :-)

유령

좋은 팁 감사합니다