[돌맹이]님이 남기신 글:
>
>[산이]님이 남기신 글:
>
>>
>>[돌맹이]님이 남기신 글:
>>
>>>초창기 리눅스 배울시절에 산이님 책 덕좀 보고..계속 오는데..
>>>아니 계속은 아니구..필요할때만 오고있네요 ^_^;;;;
>>>
>>>
>>>다름아니고 아래처럼 불법적인 로그인이 계쏙적으로 기록되고 있는데..
>>>걱정이 돼서..
>>>얼마전 해킹으로 시스템 재설치하다가 백업데이타 이동중 데이터 날려먹은 후유증으로...정신병원입원할 지경이라서...요...
>>>
>>>
>>>Sep 27 15:19:43 jupiter sshd[30535]: Illegal user patrick from 216.65.197.170
>>>Sep 27 15:19:45 jupiter sshd[30537]: Illegal user patrick from 216.65.197.170
>>>Sep 27 15:19:49 jupiter sshd[30539]: Failed password for root from 216.65.197.170 port 38187 ssh2
>>>Sep 27 15:19:53 jupiter sshd[30541]: Failed password for root from 216.65.197.170 port 38312 ssh2
>>>Sep 27 15:19:57 jupiter sshd[30543]: Failed password for root from 216.65.197.170 port 38435 ssh2
>>>Sep 27 15:20:01 jupiter sshd[30545]: Failed password for root from 216.65.197.170 port 38560 ssh2
>>>Sep 27 15:20:06 jupiter sshd[30547]: Failed password for root from 216.65.197.170 port 38690 ssh2
>>>Sep 27 15:20:08 jupiter sshd[30549]: Illegal user rolo from 216.65.197.170
>>>Sep 27 15:20:09 jupiter sshd[30551]: Illegal user iceuser from 216.65.197.170
>>>Sep 27 15:20:11 jupiter sshd[30553]: Illegal user horde from 216.65.197.170
>>>Sep 27 15:20:13 jupiter sshd[30555]: Illegal user cyrus from 216.65.197.170
>>>Sep 27 15:20:16 jupiter sshd[30557]: Illegal user www from 216.65.197.170
>>>Sep 27 15:20:17 jupiter sshd[30559]: Illegal user wwwrun from 216.65.197.170
>>>Sep 27 15:20:19 jupiter sshd[30561]: Illegal user matt from 216.65.197.170
>>>Sep 27 15:20:21 jupiter sshd[30564]: Illegal user test from 216.65.197.170
>>>Sep 27 15:20:23 jupiter sshd[30566]: Illegal user test from 216.65.197.170
>>>Sep 27 15:20:25 jupiter sshd[30568]: Illegal user test from 216.65.197.170
>>>Sep 27 15:20:27 jupiter sshd[30570]: Illegal user test from 216.65.197.170
>>>
>>>이런식으로 불법적으로 접속을 시도하는 로그가 보이는데 ..매번 아이피가 바뀝니다.
>>>아이피를 위장한 건지..?
>>>실제로 다른 아이피에서 들어오는건지..나 원참..
>>>
>>>하여튼...
>>>위의경우처럼..정상적인 사용자라면,,
>>>동일아이피에서.
>>>여러아이디를 시도하거나...로그인실패를 열번이 넘어가게 반복적으로 시도할경우는 없으니까?
>>>이렇게 동일아이피에서 실패를 반복한다면..로그인을 자동으로 막아버리게 할 수는 없나요??
>>>그래서그런 아이피들이 자동적으로 누적되어...다시는 해당아이피에서 불법시도자체를 못하도록..
>>>
>>>혹시 만약에 정상적인 사용자가 그랬다면..
>>>로그인이 안돼서...시스템관리자에게 연락이 오겠지요..
>>>그러면 그때 사정봐서..다시 해제해주면 될것이고..(그럴경우는 거의 없을것으로 생각되는데..!!)
>>>
>>>하여튼,,
>>>동일아이피에서 반복로그인실패를 원천봉쇄할 수 있는 방법이 없나요?
>>>물론 블랙리스트 아이피를 누적시켜가면서요...!!
>>
>>========================================
>>
>>redhat 이라면 sshd 는 TCP wrapper 라이브러리를 이용할겁니다.
>>즉 /etc/hosts.deny 파일을 이용해 보세요.
>>
>>아니면 route 명령어로
>>
>>shell> route add -host 216.65.197.170 127.0.0.1 reject
>>or
>>shell> route add -net 216.65.197.0 netmask 255.255.255.0 reject
>>
>>이런식으로 설정해도 됩니다.
>>
>>/etc/rc.d/rc.local.mine 에다 만들어 놓고
>>부팅시 자동으로 실행하께끔 하면 됩니다.
>>
>>해제는 netstat -nr 또는 route 명령어로 현재 설정되어
>>있는 것을 보고
>>
>>
>>shell> route del -host 216.65.197.170 127.0.0.1
>>or
>>shell> route del -net 216.65.197.0 netmask 255.255.255.0
>>
>>이런식으로 직접 명령어를 내려주면 됩니다.
>
>========================================
>
>TCP Wrapper 를 이용하여.
>hosts.deny
>에다가 아이피를 지정하는 방법은..
>만약 해커가..1번 아이피로 시도하면 관리자 가 1번을 막고.
>2번 아이피로 시도하면 2번을 막고 하는 순서를 보일 수밖에 없는데..
>그러다가.
>만약 해커가 3번째 아이피로 시도하다가 성공했다면..관리자가 한발 늦는거지요..
>
한발 늦더라고 그게 가장 빠른 시기입니다. ^.^
>그래서..
>제가 궁금한것은..
>
>사용자 ID Aging 설정(패스워드 변경기간,,등)하는 것처럼..
>접속시도실패 몇번에 자동블라킹이 되도록 하는 방법이 없나해서요??
>
물론 있겠지요.
주기적으로 messages 파일을 분석해서 hosts.allow 나
route 명령어로 막아주면 되겠네요.
C 나 쉘프로그래밍을 해야할것 같네요.
>저도 잘 모르지만,,
>PAM쪽 부분과 shell을 연결하면..어떻게 방법이 나올 것 같기도 하는데..
>어찌해야 할지..
>대안이 안나오네요...~~~^_
======================================== |
오늘은 대한입니다.
/board/delete.php:소스보기 
