[산이]님이 남기신 글:

>
>[돌맹이]님이 남기신 글:
>
>>초창기 리눅스 배울시절에 산이님 책 덕좀 보고..계속
오는데..
>>아니 계속은 아니구..필요할때만
 오고있네요 ^_^;;;;
>>
>>
>>다름아니고 아래처럼 불법적인 로그인이 계쏙적으로
기록되고 있는데..
>>걱정이 돼서..
>>얼마전 해킹으로 시스템 재설치하다가 백업데이타 이동중
데이터 날려먹은 후유증으로...정신병원입원할
 지경이라서...요...

>>
>>
>>Sep 27 15:19:43 jupiter sshd[30535]: Illegal user patrick from
216.65.197.170
>>Sep 27 15:19:45 jupiter sshd[30537]: Illegal user patrick from
216.65.197.170
>>Sep 27 15:19:49 jupiter sshd[30539]: Failed password for root from 216.65.197.170
port 38187 ssh2
>>Sep 27 15:19:53 jupiter sshd[30541]: Failed password for root from 216.65.197.170
port 38312 ssh2
>>Sep 27 15:19:57 jupiter sshd[30543]: Failed password for root from 216.65.197.170
port 38435 ssh2
>>Sep 27 15:20:01 jupiter sshd[30545]: Failed password for root from 216.65.197.170
port 38560 ssh2
>>Sep 27 15:20:06 jupiter sshd[30547]: Failed password for root from 216.65.197.170
port 38690 ssh2
>>Sep 27 15:20:08 jupiter sshd[30549]: Illegal user rolo from
216.65.197.170
>>Sep 27 15:20:09 jupiter sshd[30551]: Illegal user iceuser from
216.65.197.170
>>Sep 27 15:20:11 jupiter sshd[30553]: Illegal user horde from
216.65.197.170
>>Sep 27 15:20:13 jupiter sshd[30555]: Illegal user cyrus from
216.65.197.170
>>Sep 27 15:20:16 jupiter sshd[30557]: Illegal user www from
216.65.197.170
>>Sep 27 15:20:17 jupiter sshd[30559]: Illegal user wwwrun from
216.65.197.170
>>Sep 27 15:20:19 jupiter sshd[30561]: Illegal user matt from
216.65.197.170
>>Sep 27 15:20:21 jupiter sshd[30564]: Illegal user test from
216.65.197.170
>>Sep 27 15:20:23 jupiter sshd[30566]: Illegal user test from
216.65.197.170
>>Sep 27 15:20:25 jupiter sshd[30568]: Illegal user test from
216.65.197.170
>>Sep 27 15:20:27 jupiter sshd[30570]: Illegal user test from
216.65.197.170
>>
>>이런식으로 불법적으로 접속을 시도하는 로그가 보이는데
..매번 아이피가 바뀝니다.
>>아이피를 위장한 건지..?
>>실제로 다른 아이피에서 들어오는건지..나
 원참..
>>
>>하여튼...
>>위의경우처럼..정상적인
 사용자라면,,
>>동일아이피에서.

>>여러아이디를
 시도하거나...로그인실패를
 열번이 넘어가게 반복적으로 시도할경우는 없으니까?
>>이렇게 동일아이피에서
 실패를 반복한다면..로그인을
 자동으로 막아버리게 할 수는 없나요??
>>그래서그런 아이피들이 자동적으로 누적되어...다시는
 해당아이피에서
 불법시도자체를
 못하도록..
>>
>>혹시 만약에 정상적인 사용자가 그랬다면..
>>로그인이 안돼서...시스템관리자에게
 연락이 오겠지요..
>>그러면 그때 사정봐서..다시
 해제해주면 될것이고..(그럴경우는
 거의 없을것으로 생각되는데..!!)

>>
>>하여튼,,
>>동일아이피에서
 반복로그인실패를
 원천봉쇄할 수 있는 방법이 없나요?
>>물론 블랙리스트 아이피를 누적시켜가면서요...!!
 
>
>========================================
>
>redhat 이라면 sshd 는 TCP wrapper 라이브러리를
이용할겁니다.
>즉 /etc/hosts.deny 파일을 이용해 보세요.
>
>아니면 route 명령어로
>
>shell> route add -host 216.65.197.170 127.0.0.1 reject
>or
>shell> route add -net 216.65.197.0 netmask 255.255.255.0 reject
>
>이런식으로 설정해도 됩니다.
>
>/etc/rc.d/rc.local.mine 에다 만들어 놓고
>부팅시 자동으로 실행하께끔 하면 됩니다.
>
>해제는 netstat -nr 또는 route 명령어로 현재 설정되어
>있는 것을 보고
>
>
>shell> route del -host 216.65.197.170 127.0.0.1
>or
>shell> route del -net 216.65.197.0 netmask 255.255.255.0
>
>이런식으로 직접 명령어를 내려주면 됩니다. 

========================================

TCP Wrapper 를 이용하여.
hosts.deny
에다가 아이피를 지정하는 방법은..
만약 해커가..1번 아이피로 시도하면 관리자 가 1번을 막고.
2번 아이피로 시도하면 2번을 막고 하는 순서를 보일 수밖에
없는데..
그러다가.
만약 해커가 3번째 아이피로 시도하다가 성공했다면..관리자가
 한발 늦는거지요..

그래서..
제가 궁금한것은..

사용자 ID  Aging 설정(패스워드 변경기간,,등)하는
 것처럼..
접속시도실패 몇번에 자동블라킹이  되도록 하는 방법이
없나해서요??

저도 잘 모르지만,,
PAM쪽 부분과 shell을 연결하면..어떻게
 방법이 나올 것 같기도 하는데..
어찌해야 할지..
대안이 안나오네요...~~~^_