[돌맹이]님이 남기신 글:

>초창기 리눅스 배울시절에 산이님 책 덕좀 보고..계속
오는데..
>아니 계속은 아니구..필요할때만
 오고있네요 ^_^;;;;
>
>
>다름아니고 아래처럼 불법적인 로그인이 계쏙적으로 기록되고
있는데..
>걱정이 돼서..
>얼마전 해킹으로 시스템 재설치하다가 백업데이타 이동중
데이터 날려먹은 후유증으로...정신병원입원할
 지경이라서...요...

>
>
>Sep 27 15:19:43 jupiter sshd[30535]: Illegal user patrick from
216.65.197.170
>Sep 27 15:19:45 jupiter sshd[30537]: Illegal user patrick from
216.65.197.170
>Sep 27 15:19:49 jupiter sshd[30539]: Failed password for root from 216.65.197.170
port 38187 ssh2
>Sep 27 15:19:53 jupiter sshd[30541]: Failed password for root from 216.65.197.170
port 38312 ssh2
>Sep 27 15:19:57 jupiter sshd[30543]: Failed password for root from 216.65.197.170
port 38435 ssh2
>Sep 27 15:20:01 jupiter sshd[30545]: Failed password for root from 216.65.197.170
port 38560 ssh2
>Sep 27 15:20:06 jupiter sshd[30547]: Failed password for root from 216.65.197.170
port 38690 ssh2
>Sep 27 15:20:08 jupiter sshd[30549]: Illegal user rolo from
216.65.197.170
>Sep 27 15:20:09 jupiter sshd[30551]: Illegal user iceuser from
216.65.197.170
>Sep 27 15:20:11 jupiter sshd[30553]: Illegal user horde from
216.65.197.170
>Sep 27 15:20:13 jupiter sshd[30555]: Illegal user cyrus from
216.65.197.170
>Sep 27 15:20:16 jupiter sshd[30557]: Illegal user www from
216.65.197.170
>Sep 27 15:20:17 jupiter sshd[30559]: Illegal user wwwrun from
216.65.197.170
>Sep 27 15:20:19 jupiter sshd[30561]: Illegal user matt from
216.65.197.170
>Sep 27 15:20:21 jupiter sshd[30564]: Illegal user test from
216.65.197.170
>Sep 27 15:20:23 jupiter sshd[30566]: Illegal user test from
216.65.197.170
>Sep 27 15:20:25 jupiter sshd[30568]: Illegal user test from
216.65.197.170
>Sep 27 15:20:27 jupiter sshd[30570]: Illegal user test from
216.65.197.170
>
>이런식으로 불법적으로 접속을 시도하는 로그가 보이는데
..매번 아이피가 바뀝니다.
>아이피를 위장한 건지..?
>실제로 다른 아이피에서 들어오는건지..나
 원참..
>
>하여튼...
>위의경우처럼..정상적인
 사용자라면,,
>동일아이피에서.

>여러아이디를 시도하거나...로그인실패를
 열번이 넘어가게 반복적으로 시도할경우는 없으니까?
>이렇게 동일아이피에서
 실패를 반복한다면..로그인을
 자동으로 막아버리게 할 수는 없나요??
>그래서그런 아이피들이 자동적으로 누적되어...다시는
 해당아이피에서
 불법시도자체를
 못하도록..
>
>혹시 만약에 정상적인 사용자가 그랬다면..
>로그인이 안돼서...시스템관리자에게
 연락이 오겠지요..
>그러면 그때 사정봐서..다시
 해제해주면 될것이고..(그럴경우는
 거의 없을것으로 생각되는데..!!)

>
>하여튼,,
>동일아이피에서
 반복로그인실패를
 원천봉쇄할 수 있는 방법이 없나요?
>물론 블랙리스트 아이피를 누적시켜가면서요...!!
 

========================================

redhat 이라면 sshd 는 TCP wrapper 라이브러리를 이용할겁니다.
즉 /etc/hosts.deny 파일을 이용해 보세요.

아니면 route 명령어로

shell> route add -host 216.65.197.170 127.0.0.1 reject
or
shell> route add -net 216.65.197.0 netmask 255.255.255.0 reject

이런식으로 설정해도 됩니다.

/etc/rc.d/rc.local.mine 에다 만들어 놓고
부팅시 자동으로 실행하께끔 하면 됩니다.

해제는 netstat -nr 또는 route 명령어로 현재 설정되어
있는 것을 보고


shell> route del -host 216.65.197.170 127.0.0.1
or
shell> route del -net 216.65.197.0 netmask 255.255.255.0

이런식으로 직접 명령어를 내려주면 됩니다.