운영되는 서버에서 접속하는 IP를 확인해보면 알수없는 IP에서 접속을 시도하는 경우가 많다.

특히나 해외에서 패스워드를 뚫기위해 해킹프로그램을 사용하여 무작위로 대입을 시도하는 경우가 있다.


이럴경우 관리자 IP만을 접속가능하게 하여 해결할 수 있지만, 서버의 특성상 아무나 접속이 가능해야 할 때가 있다. 

그럴경우 하나의 IP만을 접속 허용할 수 없기 때문에 무작위 대입공격을 방어할 수 있는 fan2ban을 설치하여 예방을 할 수 있다.


1. fan2ban 설치


 - http://www.fail2ban.org에 접속하여 Lastest Version 중 stable version 을 다운로드


 - 다운로드 받은 파일을 해당 서버로 이동


 


<저는 /usr/local/src 로 파일을 이동 시켰습니다.>


 - 설치 명령 실행

   [root@octomall src] tar zxvf fail2ban-0.8.14.tar.gz

   [root@octomall src] cd fail2ban-0.8.14

   [root@octomall src] python setup.py install


 - 설정

    [root@octomall /] vi /etc/fail2ban/jail.conf 


< jail.conf > 을 열어 자신에게 맞게 설정을 변경합니다.

ignoreip : 127.0.0.1/8         -- 체크대상에서 제외할 IP(관리자 IP)

bantime : 600          -- 접근실패횟수가 넘어간 IP에 대해 설정시간 만큼 접근차단(초)
finditem : 600          -- 실패횟수를 체크할 시간범위(초)
maxretry : 3            -- IP블럭 기준의 실패횟수
#SSH 접속모니터링설정
[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, dest=알림을받을이메일주소, sender=fail2ban@example.com, sendername="Fail2Ban"]
logpath  = /var/log/secure
maxretry = 5

    

 - 부팅시 자동 실행

  [root@octomall /] chkconfig --add fail2ban

  [root@octomall /] chkconfig fail2ban on


 - fail2ban 시작

  [root@octomall /] service fail2ban start

Posted by 사용자 guru_k

댓글을 달아 주세요