[보안] bruteforce - 무작위 대입 공격 방어 (fan2ban 설치)

운영되는 서버에서 접속하는 IP를 확인해보면 알수없는 IP에서 접속을 시도하는 경우가 많다.

특히나 해외에서 패스워드를 뚫기위해 해킹프로그램을 사용하여 무작위로 대입을 시도하는 경우가 있다.

이럴경우 관리자 IP만을 접속가능하게 하여 해결할 수 있지만, 서버의 특성상 아무나 접속이 가능해야 할 때가 있다. 

그럴경우 하나의 IP만을 접속 허용할 수 없기 때문에 무작위 대입공격을 방어할 수 있는 fan2ban을 설치하여 예방을 할 수 있다.

1. fan2ban 설치

 - http://www.fail2ban.org에 접속하여 Lastest Version 중 stable version 을 다운로드

 - 다운로드 받은 파일을 해당 서버로 이동

 

<저는 /usr/local/src 로 파일을 이동 시켰습니다.>

 - 설치 명령 실행

   [root@octomall src] tar zxvf fail2ban-0.8.14.tar.gz

   [root@octomall src] cd fail2ban-0.8.14

   [root@octomall src] python setup.py install

 - 설정

    [root@octomall /] vi /etc/fail2ban/jail.conf 

< jail.conf > 을 열어 자신에게 맞게 설정을 변경합니다.

ignoreip : 127.0.0.1/8         -- 체크대상에서 제외할 IP(관리자 IP)

bantime : 600          -- 접근실패횟수가 넘어간 IP에 대해 설정시간 만큼 접근차단(초)

finditem : 600          -- 실패횟수를 체크할 시간범위(초)

maxretry : 3            -- IP블럭 기준의 실패횟수

#SSH 접속모니터링설정

[ssh-iptables]

enabled  = true

filter   = sshd

action   = iptables[name=SSH, port=ssh, protocol=tcp]

           sendmail-whois[name=SSH, dest=알림을받을이메일주소, sender=fail2ban@example.com, sendername="Fail2Ban"]

logpath  = /var/log/secure

maxretry = 5

    

 - 부팅시 자동 실행

  [root@octomall /] chkconfig --add fail2ban

  [root@octomall /] chkconfig fail2ban on

 - fail2ban 시작

  [root@octomall /] service fail2ban start