보안에 어느정도로 신경을 쓰시고 계신지요?

익명 사용자의 이미지

http://bbs.kldp.org/viewtopic.php?p=204168#204168

글을 보다가 보안에 대해 다른 분들은 어느정도 생각을 가지고 계신지 궁금해서 글을 올립니다.
또한 적절한 조치도 같이 얻고자 합니다.

아마 지금 /var/log/secure 를 보면 아래와 같은 메세지를 보실 수 있을 것입니다.

Quote:

Nov 11 22:38:53 www sshd[8924]: Illegal user oracle from :ffff:61.133.87.162
Nov 11 22:38:53 www sshd[8918]: Failed password for illegal user admin from ::ffff:61.133.87.162 port 57956 ssh2
Nov 11 22:38:56 www sshd[8925]: Failed password for illegal user oracle from ::ffff:61.133.87.162 port 57959 ssh2
Nov 11 22:39:01 www sshd[8909]: Did not receive identification string from ::ffff:61.133.87.162
Nov 11 22:39:03 www sshd[8932]: Failed password for illegal user test from ::ffff:61.133.87.162 port 57978 ssh2

/var/log/message 를 보아도.

Quote:

Nov 7 13:17:10 www sshd(pam_unix)[15958]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.38.13.18 user=nobody
Nov 7 13:17:30 www sshd(pam_unix)[16029]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.38.13.18 user=operator
Nov 7 13:17:36 www sshd(pam_unix)[16039]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.38.13.18 user=adm
Nov 7 13:17:38 www sshd(pam_unix)[16041]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.38.13.18 user=root

데비안 같은 경우 /var/log/auth.log 를 보면 되겠구요.

접속시도하는 계정도 다양하지요. root 부터 해서, adm , nobody , test , oracle , mysql , user , data , sybase ...

서버관리자의 보안 의식에 따라 다르겠지만, 전 심지어 oracle 계정의 암호를 없는 것도 보았던 차라. 이런 공격이 무시할 수가 없더군요.

저는 우선 암호 없는 계정이 있나 확인을 하고, root 로의 접속을 막고 있습니다.
좀더하면 신뢰할 수 있는 접속IP 이외의 접속은 아예 iptable 에서 막아버리고 있고요.

예전 telnet 쓰다가 , ssh 로 쓰긴하지만, 이것도 완벽하다라고 생각하고 소홀이 하면 오히려 더 나쁜 경우도 있을 수 있겠더라구요.

또한 전용선을 공유하는 곳에 있는 경우 smb , 네트웍 환경도 주의를 해야 합니다.
떡하니 암호없이 공유하는 사람도 간혹 보거든요.
저희 사무실내의 PC 는 방화벽 안쪽에 다 넣어놓긴 하지만요.

아무튼 간혹 보다보면 어이없는 곳에서 허술한 경우가 많습니다.

여러분들은 어느정도 신경쓰시고, 조치하고 계신지요?

각자의 경험을 바탕으로 토론하면 재미있을 것 같습니다.

ydhoney의 이미지

사실..

참 징하게 들어오긴 합니다.

근데 못뚫지요.(제꺼는...-_-; )

가끔 어떤 사람들 서버를 보면

어떤 친구들이 들어와서 키보드 인터럽트까지 걸고 하는 사람들도 많더군요.

난감..-_-;

//

하여간 이런거 들어오려는 놈 가만보면 다 中國Nom입니다.

가끔 파키스탄..

송지석의 이미지

ydhoney wrote:

하여간 이런거 들어오려는 놈 가만보면 다 中國Nom입니다.

가끔 파키스탄..


허허 거참.. 그나라 징하네요
warpdory의 이미지

중국, 루마니아, 파키스탄, 프랑스(여긴 왜 그런지...), 미국 ... 정도가 열심히 뚫으려고 거의 매일 난리칩니다.

그냥 iptables 도배로 막습니다.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

offree의 이미지

iptable 로 막는 것이 가장 깔끔(?) 해 보이긴 한데.

그렇게 막다가 , 모든 IP 를 막게 되는 것은 아닐지 ^^

좋은 방법이 없을까요?

서버로 열어놓기가 무섭습니다.

리눅스도 이정도 인데, 윈도우의 경우는 그 공격들을(더많은) 다 받고 있는 것 아닌가요?

모르는 것이 약인지.. 윈도우만 쓰는 사람들(-뭐 제 주의 대부분 컴맹수준이지만요-) 은 별 신경 안쓰는 것 같습니다.

사용자가 바꾸어 나가자!!

= about me =
http://wiki.kldp.org/wiki.php/offree , DeVlog , google talk : offree at gmail.com

joohyun의 이미지

보안 wrote:
또한 전용선을 공유하는 곳에 있는 경우 smb , 네트웍 환경도 주의를 해야 합니다.
떡하니 암호없이 공유하는 사람도 간혹 보거든요.
저희 사무실내의 PC 는 방화벽 안쪽에 다 넣어놓긴 하지만요.

아무튼 간혹 보다보면 어이없는 곳에서 허술한 경우가 많습니다.

여러분들은 어느정도 신경쓰시고, 조치하고 계신지요?

각자의 경험을 바탕으로 토론하면 재미있을 것 같습니다.

한 20분동안 열심히 교등학교 컴퓨터 보안에 관해서 써놨다가..
지금 다 지우고 local에다가 보관했네요..
여기다 공개 했다간 google님께서 가져가실테고, 학교이름으로 검색했다가 나오기라도 한다면, 저는 끌려가겠네요;;

주위에 보안이 허술한 곳은 얼마든지 찾아볼수 있습니다.
특히 관리자 비밀번호가 그냥 admin:admin 정도 만으로도 접근할수 있는 경우가 많더군요... 웹에서.. 보안의식 수준이 어느정도 인지 쉽게 알수 있습니다..
큰 기업이라고 해서 관리를 잘하는것도 아니구요, 외국계 기업이라고 해서 철저한것도 아닙니다.

이런 난국의 시대에.. 자기 정보는 자기가 지키는 수 밖에 없습니다..
회원제 사이트 가입할때 사용할 가상 주민번호를 하나 만들고 그걸 외우고 사용하시고, 주소도 그렇게 마련하시고... 가명 만들어서 쓰는건 기본입니다. 의심가는곳은 abcd/abcd나 1234/1234로 로그인하세요. 10곳중에 4~6곳은 로그인 됩니다.. 제가 돌아다니면서 만든곳도 몇개 있고, 실제로 그냥 사람들이 만들어놓은 경우도 있습니다...

메일주소 관리도 철저히 하시고, 보안 정말 신경쓰셔야 됩니다...ㅎㅎ

이정도 까지 할필요가 있느냐 반문을 제기하실분도 계시리라 믿습니다만...
제 경험에 의하면 이정도 대응으로도 부족한 수준임을 알려드립니다....

재수생
전주현

keedi의 이미지

자기 정보 자기가 지키는 것 까지는 좋지만
방법은 illegal 하기 때문에 수긍할 수 없습니다.

가명과 위조 주소등까지는 이해하지만 가상 주민등록 번호는 또 누군가에게
피해를 줄 수 있다고 생각해보시진 않으셨나요?

P.S.
메인에 있어서 철지난 글에 답글을 달아버렸네요. 죄송... __;

---------------------------
Smashing Watermelons~!!
Whatever Nevermind~!!

Keedi Kim

----
use perl;

Keedi Kim

warpdory의 이미지

offree wrote:
iptable 로 막는 것이 가장 깔끔(?) 해 보이긴 한데.

그렇게 막다가 , 모든 IP 를 막게 되는 것은 아닐지 ^^

좋은 방법이 없을까요?

서버로 열어놓기가 무섭습니다.

리눅스도 이정도 인데, 윈도우의 경우는 그 공격들을(더많은) 다 받고 있는 것 아닌가요?

모르는 것이 약인지.. 윈도우만 쓰는 사람들(-뭐 제 주의 대부분 컴맹수준이지만요-) 은 별 신경 안쓰는 것 같습니다.

대개 요새 뚫으려고 시도 많은 것이 ssh 정도입니다.
다른 곳에서 ssh 를 들어올 이유가 없고 관리자 정도만 접속하는 정도라면 다른 곳은 모두 막아버려도 된다는 얘기가 되는 거죠.

웹 서버에 쓸데없이 ftp 데몬이 돌고 있을 이유는 없지만, 주기적인 업데이트를 위해서 ftp 가 필요하다면 웹마스터 ip 대역 정도만 ftp 를 열어두면 되는 거고요.

물론, 주기적인 보안 업데이트도 중요합니다. 그게 가장 중요하지만, 쓸데없는 공격에 피해 받지 않기 위해서는 쓸데없이 열려 있는 데몬을 막는 것도 쓸만하다고 생각합니다.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

랜덤여신의 이미지

공유기가 다 막아 주니까, 그다지 큰 걱정은 없습니다...
다만, 간혹 포트가 열려 있는 서비스들에 보안 결함이 발견될까봐 그게 걱정이지요...

mycluster의 이미지

솔직히 보안에 별로 신경안씁니다... 날라가면 날라가나보다 뭐 그러고 삽니다. 그대신, 내꺼가 뚤려서 경유지가 되면 여러사람 피곤해질거 같아서 ipchain(iptable로 바꿔야하는데...)으로 포트 다 막아놓고 그냥 씁니다.
윈도는 깔때 방화벽켜둡니다. 더 이상 뭐... 할게 없더군요.

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

익명 사용자의 이미지

나름대로 신경쓰고 삽니다만,(DMZone, iptables, NIDS 등등)
하지만, 무엇보다도 백업을 충실히 합니다. 8)
백업만이 살길이죠

emptysky의 이미지

Anonymous wrote:
나름대로 신경쓰고 삽니다만,(DMZone, iptables, NIDS 등등)
하지만, 무엇보다도 백업을 충실히 합니다. 8)
백업만이 살길이죠

아앗! 또 로그인을 깜빡... :oops:

『 아픔은.. 아픔을 달래줄 약이 무엇인지 알면서도 쓰지 못할 때 비로소 그 아픔의 깊이를 알수가 있음이다. 』
『 for return...』

lacovnk의 이미지

emptysky wrote:
Anonymous wrote:
나름대로 신경쓰고 삽니다만,(DMZone, iptables, NIDS 등등)
하지만, 무엇보다도 백업을 충실히 합니다. 8)
백업만이 살길이죠

아앗! 또 로그인을 깜빡... :oops:

전 자동로그인 덕택에 걱정없지요 ㅎㅎ

저도 공유기를 믿고 있습니다 -_-; 이런저런 사정으로 공유기를 이중으로 통과해서 사용하고 있어서... 으음. wireless lan은 암호화 시켜서 사용하고 있고요.

winxp 는 sp2 설치해서 쓰고 있고.. 동생 컴퓨터에도 몰래 깔아버렸지요.. 일반유저로 줬다가 불평이 많아서 그냥 관리자 주고, 주기적으로 뒤엎기로 했습니다;

서버는 debian sarge인데.. 뭐 update 꾸준히 해주는 정도입니다. 커널컴파일은.. 패닉이 두려워 모니터 붙이고 하기가 귀찮아, 청소할때 한번에 합니다 -_-;;;

백업은.. 크론질한 서버내용을 제 데스크탑 하드로 옮깁니다.(/var/www, workspace 디렉토리, cvs, mysql) CD로도 구워야 하는데 CD롬이 고장나서 -_-;;; 기왕 사는거 dvd writer 사려는데 뭐 알아보지 않았더니 귀찮군요; (+, -... 듀얼 이니 뭐니... -_-; )

가끔 apache에 IIS 서버 취약점 노린 로그들 보면 흠칫흠칫 놀라기도 합니다 ㅎㅎ

warpdory의 이미지

대충 요새 보면 ...

Nov 14 18:08:50 www sshd(pam_unix)[12297]: check pass; user unknown
Nov 14 18:08:50 www sshd(pam_unix)[12297]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=203-236-214-206.rev.nextel.co.kr
Nov 14 18:08:51 www sshd(pam_unix)[12298]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=203-236-214-206.rev.nextel.co.kr  user=admin
Nov 14 18:08:54 www sshd(pam_unix)[12301]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=203-236-214-206.rev.nextel.co.kr  user=admin
Nov 14 18:08:56 www sshd(pam_unix)[12304]: check pass; user unknown
Nov 14 18:08:56 www sshd(pam_unix)[12304]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=203-236-214-206.rev.nextel.co.kr
Nov 14 18:08:56 www sshd(pam_unix)[12307]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=203-236-214-206.rev.nextel.co.kr  user=root
Nov 14 18:09:00 www sshd(pam_unix)[12308]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=203-236-214-206.rev.nextel.co.kr  user=root
Nov 14 18:09:05 www sshd(pam_unix)[12344]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=203-236-214-206.rev.nextel.co.kr  user=root
Nov 14 19:01:02 www sshd(pam_unix)[15031]: session opened for user root by (uid=0)
Nov 14 20:06:36 www sshd(pam_unix)[18800]: check pass; user unknown
Nov 14 20:06:36 www sshd(pam_unix)[18800]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.21.129.104
Nov 14 20:06:39 www sshd(pam_unix)[18803]: check pass; user unknown
Nov 14 20:06:39 www sshd(pam_unix)[18803]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.21.129.104
Nov 14 20:06:41 www sshd(pam_unix)[18806]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.21.129.104  user=admin
Nov 14 20:06:43 www sshd(pam_unix)[18807]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.21.129.104  user=admin

이런 류의 무턱대기 공격류가 많습니다.
그냥 .. 저 보안 패치만 꾸준히 하고.. ip 만 막아버리면 별로 걱정할 게 없죠.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

fromm0의 이미지

지극히 기본적인것만 해둡니다. 포트 막아두고. 보안툴 두어개 설치해두고.. 가끔 로그 파일 봐주고..

niceview의 이미지

debianusers.org에서 본 질답에서 sshd_config의 MaxStartups를 이용해보라고 해서 해봤는데, 별 소용이 없더라구요. man page를 자세히 읽어보니 한 IP가 n번 접속 시도시 block을 거는 것이 아니라 동시 접속자수가 n명 이상일때 인증되지 않은 접속을 차단하는 것인 것 같던데.. 그래서 차단이 안된 것 같습니다. portsentry는 차단을 감지하지 않는 것 같고..

음.. 로그인애러 한 10번쯤 나면 그 IP에 대해서 하루정도 접속하지 않도록 하려면.. 스크립트말고는 방법이 없을까요? sshd 자체적으로 해결하는 방법이 있으면 알려주세요~~ (man 페이지는 뒤져봐도 별로.. 뾰족한 수가 없는 것 같던데... ㅠ.ㅠ)

pool007의 이미지

음 저도 뚫려보았습니다. 제가 관리하는 서버는 아니고, 모 교회 홈피를 만들었었는데요.. abc.com 이 도메인이면 Administrator 암호가 abc였습니다;; 나중에 서버가 이상하다고 해서 가보니 중국Nom 들이 ftp로 들어와서 php 를 사용한 mysql admin 툴 깔아놓고 와레즈 돌리고 있더군요. (정성이 정말 대단하더군요. 저라면 귀찮을텐데;;)

결국 다 밀고 새로 깔고 admin 암호 바꿨습니다.

--
Passion is like genius; a miracle.

notexist의 이미지

같이 쓰는 컴터를 관리한 적이 없어서...대충 다 막고 살아도 되더라고요...ㅡㅡ;

윈도는 그냥 윈도업데이트 꼬박꼬박해주고, v3 항상 감시하게 해놓고
인터넷 익스플로어랑 아웃룩 보안레벨 약간 올려놓고, 수상한 ActiveX 안 깔고.
쓸떼없는 공유나 서비스 같은거 다 꺼놓고... 별 문제 없었던 것 같습니다.

BSD는 메일링 리스트봐서 보안사항있으면 관련있는지 보고 업데이트해주고
서비스는 ssh로 쓰고, 확실한 ip에서만 접근권한 풀어주고...
다른 ip는 수상한 것 감지되면 바로 막아버리고... 불필요한 ICMP도 막고...

마지막으로 ccrtcc랑 보안 메일링 몇 군데 봐서...
이상한 웜이나 구멍 소식 있으면 막아주고 그럽니다.

There is more than one way to do it...

욱성군의 이미지

보안 같은건 신경써본적도 없네요-_-);
그냥 보안 패키지 업데이트만 열심히 해주고 있습니다. (그것도 데비안 패키지에서 업데이트 올라올때만요.)

iptables 나 ipchain 같은건 써보지도 않았군요-_-);

returnet의 이미지

저 같은 경우에는 guest/guest 계정을 만들어 둡니다.

그럼 중국X가 스캔을 쫙 해보고는 아싸 좋구나 하면서

접속을 하지요.

그럼 제가 자작한 쉘에 걸리게 됩니다. 그 쉘이란 이름도

무색한 그 프로그램은 접속자에게 '훡뀨' 를 날려주고 접

속을 끊습니다.

그럼 두번의 접속은 없습니다. 음화화화화화

yonghyu의 이미지

거기에 자동으로 IP 접속차단해준다면 더 좋겠죠...

p.s 루트권한이 필요할것 같은데 권한없이 할순 없을까요?
-----------------------------절 취 선-----------------------------------
홈페이지: yonghyu.dyndns.org
B.Y.H

-----------------------------절 취 선-----------------------------------

따라하지 마세요.

홈페이지: yonghyu.dyndns.org
B.Y.H

익명 사용자의 이미지

returnet wrote:
저 같은 경우에는 guest/guest 계정을 만들어 둡니다.

그럼 중국X가 스캔을 쫙 해보고는 아싸 좋구나 하면서

접속을 하지요.

그럼 제가 자작한 쉘에 걸리게 됩니다. 그 쉘이란 이름도

무색한 그 프로그램은 접속자에게 'ㅤㅎㅝㄱ뀨' 를 날려주고 접

속을 끊습니다.

그럼 두번의 접속은 없습니다. 음화화화화화

일종의 honeypot 이군요. 하지만 그런 식으로 성질(?) 돋구는 방법은 그리 좋은 방법은 아닌 듯 합니다. 오기로 더 매달리게 하는 수가 있거든요.

익명 사용자의 이미지

garderisia wrote:
보안 같은건 신경써본적도 없네요-_-);
그냥 보안 패키지 업데이트만 열심히 해주고 있습니다. (그것도 데비안 패키지에서 업데이트 올라올때만요.)

iptables 나 ipchain 같은건 써보지도 않았군요-_-);

데비안 새버전 릴리즈 이후로 한동안 보안 패키지 업데이트 프로세스가 엉망이라 여러 말들이 돌았습니다. 덕분에 데비안으로 서버 설치하려던 계획을 바꿔서 수세로 설치하기로 했습니다.

보안은 층(layer)이 많을 수록 더 뚫기 어렵기 때문에 패킷 필터링도 사용하는 것이 좋을 듯 합니다. 제 경우는 기본적인 서버 하드닝, 패킷 필터링, system integration check cron job, rootkit check cron job, 모든 외부 서비스에 대해 chroot jail, backup cron job, logdigest cron job, 가끔씩 하는 vulnerbility scanning, 보안 업데이트 등등 몇개 층을 둡니다. 이렇게 하면 한두개 정도의 층이 뚫려도 여유가 좀 있다고 볼 수 있죠. 좀더 중요한 서버라면 NIDS, 전용 방어벽, 로그파일 실시간(?) 이벤트 체크 등이 추가되야 한다고 봅니다. OS 그냥 디폴트로 설치하면 나중에 낭패보는 수가 있어서 조심합니다.

익명 사용자의 이미지

niceview wrote:
debianusers.org에서 본 질답에서 sshd_config의 MaxStartups를 이용해보라고 해서 해봤는데, 별 소용이 없더라구요. man page를 자세히 읽어보니 한 IP가 n번 접속 시도시 block을 거는 것이 아니라 동시 접속자수가 n명 이상일때 인증되지 않은 접속을 차단하는 것인 것 같던데.. 그래서 차단이 안된 것 같습니다. portsentry는 차단을 감지하지 않는 것 같고..

음.. 로그인애러 한 10번쯤 나면 그 IP에 대해서 하루정도 접속하지 않도록 하려면.. 스크립트말고는 방법이 없을까요? sshd 자체적으로 해결하는 방법이 있으면 알려주세요~~ (man 페이지는 뒤져봐도 별로.. 뾰족한 수가 없는 것 같던데... ㅠ.ㅠ)

sshd 자체적으로 가능한 방법은 없는 걸로 압니다. 기억이 맞다면 sshd에서는 동시에 몇명이 시도할 것인지, 실패시 얼마의 지연시간을 둘 것인지, timeout 등의 세팅은 바꿀 수 있는 것으로 압니다.
(저는 timeout 10초정도, 동시 3명, 지연시간은 갑자기 늘도록 - 기억이 맞다면 비율로 정하든가 하는데 - 세팅해 놓았습니다)

기억이 맞다면 좀 무식한 방법으로 n번 연속 실패시 sshd 자체를 죽이도록 하는 방법이 있는데, 이런 경우 아무도 ssh 접속을 못하게 되겠죠. 크론 잡으로 하루 서너번 다시 sshd 살리게 해야 합니다.
(불편함을 감수하는 것이죠)

제가 개인적으로 선호하는 '노크' 방법도 있는데, 패킷 필터를 이용(stateful packet filter만 가능)해서 ssh 접속포트 자체를 허용했다가 허용하지 않게했다 하는 수법(?) 입니다. 이렇게 하면 ssh 이용하는 쪽에서는 조금 귀찮아지지만 쓸데없는 접속시도가 거의 0에 가까워집니다(실제로는 아직까지 한건도 못보았슴). 비유하자면, 적절한 노크에 따라 ssh 문을 보이게 해주고, 문이 있으면 통상적 방법으로 여닫을 수 있게 되는 것이죠. 일단 성공적으로 접속하였다면 다시 적절한 노크해서 문을 숨겨버리는 것입니다. 이렇게 되면 적절한 노크를 하지않는 이상 외부에서는 ssh 포트에 대한 서비스(sshd)가 아예 없는 것으로 나오게 되는 것이죠.

ctcquatre의 이미지

Anonymous wrote:

제가 개인적으로 선호하는 '노크' 방법도 있는데, 패킷 필터를 이용(stateful packet filter만 가능)해서 ssh 접속포트 자체를 허용했다가 허용하지 않게했다 하는 수법(?) 입니다. 이렇게 하면 ssh 이용하는 쪽에서는 조금 귀찮아지지만 쓸데없는 접속시도가 거의 0에 가까워집니다(실제로는 아직까지 한건도 못보았슴). 비유하자면, 적절한 노크에 따라 ssh 문을 보이게 해주고, 문이 있으면 통상적 방법으로 여닫을 수 있게 되는 것이죠. 일단 성공적으로 접속하였다면 다시 적절한 노크해서 문을 숨겨버리는 것입니다. 이렇게 되면 적절한 노크를 하지않는 이상 외부에서는 ssh 포트에 대한 서비스(sshd)가 아예 없는 것으로 나오게 되는 것이죠.

흠.. 노크의 방법이 무엇인가요? 다른 포트를 통한 연계인가요?
처음 보는거라 좀 궁금하네요.. 설명 부탁드립니다.

Chaos to Cosmos,
Chaos to Chaos,
Cosmos to Cosmos,
Cosmos to Chaos.

sink의 이미지

다음을 참고하세요.

A Cure for the Common SSH Login attack
http://www.hostlibrary.com/A-Cure-for-the-Common-SSH-Login-Attack-195586.html

예전에 저도 뭔가 쌈박한 방법이 없을까 해서 찾다가 발견한 것인데,
좀 귀찮아서 실제 적용은 안하고 있다가 관련 내용이 나와서 링크합니다.

그나저나 Snort에는 이 SSH Login Attack을 감지하는 룰이 없나요?

coyday의 이미지

root, oracle, sybase.. -_-

이렇게 잘 알려진(well known) 계정을 예측 가능한 암호로 찔러 보는 것은 그야말로 노가다 해킹이라죠. 해킹이라고 하기에도 민망한 수준인데 여기 글타래를 보니 역시 중국X들이군요. 묘한 방식으로 행복을 느끼나 봅니다.

북한산(X) 삼각산(O) 백운대(X) 백운봉(O)

tinywolf의 이미지

저도 방금 살펴보았는데.. 징하군요..
굉장하다는 느낌..

ㅡ_ㅡ;

kernuts의 이미지

coyday wrote:
root, oracle, sybase.. -_-

이렇게 잘 알려진(well known) 계정을 예측 가능한 암호로 찔러 보는 것은 그야말로 노가다 해킹이라죠. 해킹이라고 하기에도 민망한 수준인데 여기 글타래를 보니 역시 중국X들이군요. 묘한 방식으로 행복을 느끼나 봅니다.

인해전술과 통하는 방법이 아닌가 싶습니다.
전술이라기도 좀 뭐한...
그래서 뗏nom이라고도 하나...

The knowledge belongs to the World like Shakespear's and Asprin.

죠커의 이미지

kernuts wrote:
coyday wrote:
root, oracle, sybase.. -_-

이렇게 잘 알려진(well known) 계정을 예측 가능한 암호로 찔러 보는 것은 그야말로 노가다 해킹이라죠. 해킹이라고 하기에도 민망한 수준인데 여기 글타래를 보니 역시 중국X들이군요. 묘한 방식으로 행복을 느끼나 봅니다.

인해전술과 통하는 방법이 아닌가 싶습니다.
전술이라기도 좀 뭐한...
그래서 뗏nom이라고도 하나...

예전에 고딩때 양아치 녀석들이 휴대폰 하나 훔쳐서 크래킹을 시도하더군요.

가능 한 모든 번호를 다 눌러보는 것이였습니다.

무식한 그네들도 나름대로 전략을 세웠습니다. 한명이 1000개씩만 맡더군요. 몇명이 교대하더니 풀어내더군요.

만약 휴대폰이 인터넷으로 크래킹이 가능했다면 중국 애들은 번호 하나당 한 사람이 붙을지도 모르겠습니다. -_-

sungmoo의 이미지

윈도우 보안을 챙기는 방법으로는 아래처럼 해둡니다.

1, IE 6 sp1, 서비스팩 4 를 미리 받아둔다. (자원절약 위해서 여태껏 2000을 씁니다.)

2, 시스템깔고 Ie 6 sp1 와 sp4 를 깔아준다. (시스템을 깔때 불필요한건 체크해서 없애주죠, 물론 NTFS를 사용하구요.)

3, Windows Update 를 사용해서 모든 팩을 다 깔아준다. (이건 두번 실행하죠, 한번 해두고 다시 해보면 또 나올때 있습니다.)

4, tcp/ip 설정에서 파일공유체크를 없앱니다.

5, tcp/ip 설정에서 필요한 포트만 열어둡니다. 저는 기본적으로 21, 80, 3389 만 열어둡니다.

6, 블랙 아이스를 깝니다. 또 21, 80 , 3389 만 열어둡니다.

위에서 3389는 윈도우 터미널 서비스고 대신으로 다른걸 사용하실수도 있습니다. VNC 라든가...

이러고 다시 버그스캐닝 도구로 한번 스캔해주면 거의 비슷할꺼 같더라구요...

옹이의 이미지

ssh접속유저 whitelist를 만드시면 좀 괜찮습니다.

--설정은..
/etc/ssh/sshd_config 에서 UsePAM yes
/etc/ssh/sshusers 예 허용할 아이디적기
/etc/pam.d/sshd 첫째줄에 아래와같이 추가
--
account required /lib/security/pam_listfile.so item=user sense=allow file=/etc/ssh/sshusers onerr=succeed
--

ssh접속로그는 걍 포트만 바꿔도 많이 줄더군요.(물론 스캔하면나오겠지만...)

suapapa의 이미지

제 경우 인증키를 사용한 접근만 허용하고
http://wiki.kldp.org/wiki.php/DocbookSgml/SSH-KLDP#AEN87

sshd config 파일(데비안 기준 : /etc/ssh/sshd_config) 에서 아래 옵션으로
패스워드 입력을 아예 막아버렸습니다.

# Change to no to disable s/key passwords
ChallengeResponseAuthentication no

그 후에도 잠시 무턱대기 공격로그가 남았었는데, 맘대로 해라~하고 냅뒀더니
지쳤는지 조용해 졌네요 :)

cjh의 이미지

ssh는 포트만 바꾸어 주어도 공격은 현저하게 줄어들 겁니다. 저같으면 회사 방화벽이 ssh 포트를 허용하지 않아서
(막은것도 저지만 ^^) 다른 포트에 바인딩해서 쓰거든요.

윈도우 터미널 포트도 바꾸어도 사는데 별 지장 없습니다.

spam 방화벽 중에 OpenBSD의 spamd처럼 일부러 속터지게 만드는 방법이 있는데, sshd도 그렇게 대응하면
스캔 효율을 현저하게 저하시켜서 사기를 낮출 수 있지 않을까요?

--
익스펙토 페트로눔

--
익스펙토 페트로눔

OpenSnake의 이미지

FTP 포트 말고는 다 막아놨습니다...ssh 는 아예 안쓰고요.....
그리고 방화벽만 믿고 있는데...이거 안전할려나 모르겠네요...-_-;

ftp 익명까지 열어났는데...

--------------------------------------------
혼자있고 싶습니다. 모두 지구밖으로 나가주세요.

--------------------------------------------
혼자있고 싶습니다. 모두 지구밖으로 나가주세요.