뭘 이런걸..

Posted
Filed under Tech/안녕리눅스
요즘 로그를 보다 보면 ssh 사전 공격이 worm 으로 변하여 엄청나게 시도를 하는 것을 볼 수 있습니다. (흐흐.. 문제를 존대로 바꾸어 보았습니다.) logwatch 의 ssh login 시도 log 분석을 잠시 보면

logwatch 보기



그래서, 안녕 리눅스의 커널과 iptables 에 geoip extension 을 붙여서 외국에서의 접근을 막아 보려고 시도 중입니다.

oops-firewall 에도 연동을 할까 생각 중이지만, 이건 나중의 일이고, 일단, oops.org 의 서버에

iptables -A INPUT -p tcp -i eth0 --dport 22 -m geoip ! --src-cc KR -j DROP


과 같이 한국 외에서의 접근을 막아 버렸습니다. 이제 내일의 logwatch 결과를 기다려 봐야 겠네요.

뭐, 이 작업 한다고 닥질도 많이 했습니다. 새벽에 졸린 눈으로 작업을 하다보니.. 어처구니 없게

iptables -A INPUT -m geoip --src-cc KR -j DROP


를 실행해서 한국에서 접속을 못하게 만들어 외국의 계정을 찾느라고 고생도 했습니다.

이제 주사위는 던져 졌고, 얼마나 효과가 있는지만 기다려 보면 되겠네요.
2005/09/28 05:31 2005/09/28 05:31

ipt_geoip 사용하기 위해서 몇번 시행착오도 있었지만 김정균님께서 패키징하신 안녕 리눅스 커널에 포함되어 있는 ipt_geoip 패치파일만 따로 빼서 RHEL4에서 커널모듈로 컴파일 해봤습니다. 접근 횟수가 천대를 기록하는 IP 도 있고해서 -_- 그 동안 ..

김영일

블로그 까지 가지고 계시네요..^^
ssh를 통한 공격이 늘고 있어서... 막을 방법을 고민하던중 위의 글을 읽었습니다. 그런데 한가지 문제가 가상 아이피 대역의 컴퓨터들도 막아 버리네요. 제가 iptables에 문외한이라서요.
만약 10.x.x.x 대역의 컴퓨터들은 ssh접속을 허용하고 싶다면 어떻게 해야 되나요?

김정균

geoip rule 위에 원하시는 영역을 ALLOW 해 주시면 되겠죠.