AWS 무차별적 로그인 시도

syslog또는 로그 서버상에 일정한 ID를 이용한 ssh 접속시도가 이루어 진다. (근데 거의 안뚫린다.)

 

이런 공격은 brute-force(무차별 공격)으로써, 패스워드 사전 파일을 이용하여 미리 지정한 아이디와 대입하여

접속 계정을 알아 내는 해킹 방법이다. 

 

대부분 ROOT계정 또는 잘 알려진 ID를 이용하여 접속 계정을 알아내려 한다. 

 

어떻게 하면 이들을 보안을 이용해서 해결을 할 수 있을 까?

 

1. SSH 포트 변경

/ect/ssh/sshd_config 파일에서 

#port 22 주석을 풀어주고 원하는 포트로 설정

#PermitRootLogin yes --> PermitRootLogin no 로 루트 계정으로의 로그인을 금지한다. 

>> 접속가능한 유저를 제한하는 것인데. 일반적으로 루트는 바로 로그인이 안되고 특정 유저만 가능하게 한 후 루트로 권한을 변경하는 형태로 사용한다. 

 

이렇게 2개를 설정해주고 iptables 변경한 포트를 방화벽에서 열어 주어야한다. 

 

/etc/sysconfig/iptables 파일에서 

"   -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT   "

22포트를 위에서 설정한 포트로 변경해준다. 그리고 다시 restart 해주면 된다. 

 

이렇게 포트를 변경하면 22포트 경우보다는 안전하가도  할 수 있다. 

 

 

 

2. Fail2ban 같은 프로그램으로 비밀번호가 계속 틀리는 사용자는 아이피를 차단할 수 있다. 

 

3. 필터링 툴로 ssh 에 접속 가능한 IP를 제한한다. 

3-1 tcpwrapper

3-2 iptables