![내 서버가 계속 공격을 받고 있습니다 [닫힘]](https://linux55.com/image/47916/%EB%82%B4%20%EC%84%9C%EB%B2%84%EA%B0%80%20%EA%B3%84%EC%86%8D%20%EA%B3%B5%EA%B2%A9%EC%9D%84%20%EB%B0%9B%EA%B3%A0%20%EC%9E%88%EC%8A%B5%EB%8B%88%EB%8B%A4%20%5B%EB%8B%AB%ED%9E%98%5D.png)
저는 시스템 관리의 세계를 처음 접했습니다. 최근에 애플리케이션을 개발하고 있는데 애플리케이션 서버 로그를 확인하면 내 서버에 SSH를 무차별 대입하려고 시도하는 다양한 IP 주소가 계속해서 나타납니다. 내 서버 로그의 예는 다음과 같습니다.
Feb 14 04:07:20 foodwiz3 sshd[1264]: error: Could not load host key: /etc/ssh/ssh_host_ed25519_key
Feb 14 04:07:21 foodwiz3 sshd[1264]: reverse mapping checking getaddrinfo for coenamor.columbiansabbatical.com [23.249.167.223] failed - POSSIBLE BREAK-IN ATTEMPT!
Feb 14 04:07:21 foodwiz3 sshd[1264]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=23.249.167.223 user=root
Feb 14 04:07:23 foodwiz3 sshd[1264]: Failed password for root from 23.249.167.223 port 32997 ssh2
Feb 14 04:07:23 foodwiz3 sshd[1264]: Received disconnect from 23.249.167.223: 11: Bye Bye [preauth]
Feb 14 04:13:04 foodwiz3 sshd[1289]: error: Could not load host key: /etc/ssh/ssh_host_ed25519_key
Feb 14 04:13:05 foodwiz3 sshd[1289]: reverse mapping checking getaddrinfo for coenamor.columbiansabbatical.com [23.249.167.223] failed - POSSIBLE BREAK-IN ATTEMPT!
Feb 14 04:13:05 foodwiz3 sshd[1289]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=23.249.167.223 user=root
Feb 14 04:13:07 foodwiz3 sshd[1289]: Failed password for root from 23.249.167.223 port 41562 ssh2
이것은 상당히 정상적인 일입니까, 아니면 이에 대해 우려하거나 조치를 취해야 합니까?
답변1
놀라운 인터넷 세계에 오신 것을 환영합니다... 당신은:
- 서버를 하드웨어 방화벽 뒤에 두시겠습니까?
- 활성화됨소프트웨어 방화벽? (하드웨어 방화벽이 실패할 경우를 대비해)
- 굳어진당신의 서버?
- 설치됨헤드 헌터온라인에 올리기 전에?
- 활동적인자동 일일 보안 업데이트?
- 기본 포트가 변경되었나요
ssh? - ...
그러나 실제 대답은 다음과 같습니다.응 이건 정상이야:BotNet Maffia는 항상 더욱 강력하게 보호되는 서버를 사용할 수 있습니다…
답변2
플러드 로그를 작성하기에 충분한 로그인 시도가 발생하는 것은 매우 정상적인 현상입니다.
SSH 포트를 변경하는 것은 "스텔스 보안" 유형의 솔루션에 가깝지만 서비스 초과에 도움이 될 수 있습니다. 나는 이것이 사실상 서비스 포트가 존재하는 데에는 그다지 우아하지 않다는 점을 강조합니다.
기본적으로 켜져 있어야 하지만 루트로 서버에 SSH로 연결할 수 없는지 확인하세요. 이는 서버 간에 상당히 일관된 사용자 이름이므로 비밀번호 무차별 로그인 시도의 주요 대상입니다. 설정을 강제하려면 다음 줄을 사용하십시오 sshd_config.
PermitRootLogin no
또한 fail2ban반복적인 위반자가 있는지 sshd 로그를 확인하고 모니터링하세요. 예를 들어, 특정 IP가 3분 이내에 5번 로그인에 실패하면 해당 IP는 10분간 차단됩니다. 로그 스팸을 더욱 줄이기 위해 차단 시간을 24시간으로 연장하는 데 성공했습니다. :)
답변3
나는 당신이 몇 가지 일을 할 것을 제안합니다:
- SSH가 수신 대기 중인 포트(1024보다 훨씬 높음)를 변경하고 프로토콜 버전 1을 사용하고 있지 않은지 확인하십시오.
/etc/ssh/sshd_config
# What ports, IPs and protocols we listen for
Port 50022
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
설치
fail2ban- 기존 방화벽 규칙( )을 업데이트하여 로그 파일을 모니터링하고 결함이 발생하기 쉬운 주소를 일시적 또는 지속적으로 차단합니다iptables.신뢰할 수 있는 위치를 화이트리스트에 추가하세요.
답변4
다음을 통해 커널의 내부 방화벽을 구성할 수 있습니다.iptables. 이로 인해 서버에 SSH를 통해 연결할 수 있는 시스템은 소수에 불과하고 다른 IP 패킷은 손실됩니다. 자세한 내용은 을 참조하세요 man iptables.
예를 들어, 192.168.1.67이 SSH를 보내는 호스트인 경우 서버에서 다음을 입력합니다.
sudo iptables -A INPUT -p tcp --dport ssh -s 192.168.1.67 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport ssh -j DROP
sudo iptables-save