여러분들의 비밀번호는 얼마나 복잡한가요..?

g0rg0n의 이미지

집에서 심심풀이로 돌리는 섭 로그를 봤더니..

--------------------- pam_unix Begin ------------------------

sshd:
Authentication Failures:
unknown (219.149.43.254): 3321 Time(s)
unknown (218.75.79.18): 139 Time(s)
root (80.248.71.140): 41 Time(s)
mail (219.149.43.254): 40 Time(s)
mysql (219.149.43.254): 40 Time(s)
nobody (219.149.43.254): 36 Time(s)
root (219.149.43.254): 36 Time(s)
root (202.57.42.162): 26 Time(s)
ftp (219.149.43.254): 17 Time(s)
adm (219.149.43.254): 12 Time(s)
root (61.181.255.139): 9 Time(s)
unknown (201.73.187.100): 5 Time(s)
unknown (202.57.42.162): 4 Time(s)
root (118.101.178.201): 3 Time(s)
root (178.42.179.82): 3 Time(s)
root (178.94.63.38): 3 Time(s)
root (61.191.52.142): 3 Time(s)
root (95.52.182.164): 3 Time(s)
squid (219.149.43.254): 3 Time(s)
unknown (61.181.255.139): 3 Time(s)
apache (219.149.43.254): 1 Time(s)
bin (61.181.255.139): 1 Time(s)
games (219.149.43.254): 1 Time(s)
mysql (61.181.255.139): 1 Time(s)
news (219.149.43.254): 1 Time(s)
Invalid Users:
Unknown Account: 3472 Time(s)

불안불안 하네요...

kkb110의 이미지

이런건 어떨까요,

다른 웹서버를 하나 구해서,(대충 무료 아무거나) 외부에서 http로 텍스트 파일을 하나 엑세스 할 수 있게 해둡니다. (ex http://abcde.org/ip.txt)
그 텍스트파일은, ftp로든 뭐든 자신이 내용을 언제든지 수정할 수 있게 하고, ssh 접속하는 클라이언트의 ip어드레스를 적어놓습니다.
그리고 원본 서버에서는, 그 텍스트파일을 1초마다 읽어서 텍스트파일에 있는 ip만 ssh 화이트리스트에 등록/제거하는 스크립트를 띄워둡니다.

일단 이렇게해두고, 접속할때는 접속할 컴의 ip를 확인해 저 텍스트파일을 업데이트 시키고 나서 접속하는겁니다.

이렇게 해두면, 설령 password를 맞춰도 접속이 안될뿐더러, 텍스트 저장되는 서버는 공격자가 주소조차 알지 못하니 어떻게 할 방법이 없을거같네요.

kkb110의 이미지

아니면 그냥 루트계정의 이름을 바꾸는 것도 상당히 안전할 것 같습니다 -_-; (root ->rooot)

g0rg0n의 이미지

루트로긴은 막아놓긴 했습니다만
일만 계정도 뚫려버린다면.. 흑흑 ㅜㅜ

18

kirrie의 이미지

http://howsecureismypassword.net/

뭐 이런것도.

전 좋아하는 책의 문장 몇개를 외워서 패스워드로 씁니다. 한 20~30단어정도 되는 것 같은데, 이정도면 brute force로 뚫일 일은 없을듯요..
--->
데비안 & 우분투로 대동단결!

--->
데비안 & 우분투로 대동단결!

rogon3의 이미지

좋은 사이트 고맙습니다.

제가 쓰는 비번 중 하나는 2분만에 해킹할 수 있다는 군요 ㅡ.ㅡ;

제일 중요한 비번은 해킹하는데 3만9천년 걸린답니다.

역시 세벌식으로 입력한 특수문자 포함 13자리 문자 비번 정도는 되야 하는 듯...

*******************************
데비안과 세벌식 사용자입니다

*************************************

*******************************
데비안과 세벌식 사용자입니다

*************************************

superwtk의 이미지

예전에 제가 가지고 있던 서버의 root 비밀번호를 넣어봤더니 "About 3,539 nonillion years" 라고 나오네요. 약 3.53900 × 10^33 년.

--------------------------------------------------------------------------------
http://blog.sumin.us
http://labs.sumin.us

otaku의 이미지

ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

해피해킹당

rogon3의 이미지

단위가 머리털 나고 처음 보는 ...

구글링해보니 더 무지막지한 단위도 있군요

*******************************
데비안과 세벌식 사용자입니다

*************************************

*******************************
데비안과 세벌식 사용자입니다

*************************************

JuEUS-U의 이미지

예전에 쓰던 비밀번호는 About 9,571,860 nonillion years 걸린다고 하는군요 ㅇ>-<
물론 입력하는게 너무 힘들어서 한 반년정도 쓰고 바꿨습니다.

지리즈의 이미지

패스워드 조합이 16만년 정도 걸리는 군요.

사람이름(shift를 눌러야 하는 쌍자음 혹은 ㅖㅠㅛ 모음이 들어가는 것으로) + 숫자 입니다.

There is no spoon. Neo from the Matrix 1999.

There is no spoon. Neo from the Matrix 1999.

Necromancer의 이미지

ssh는 인증키접속방식으로 바꾸면 가볍게 끝나는데요.

Written By the Black Knight of Destruction

Written By the Black Knight of Destruction

superwtk의 이미지

공개키 인증, non-22 port로 바꾸면 웬만한 공격은 다 피할 수 있을 듯 합니다.

--------------------------------------------------------------------------------
http://blog.sumin.us
http://labs.sumin.us

사랑천사의 이미지

SSH의 경우 나름데로 생각해 낸 문장 같은걸 씁니다. 복잡한 경우 구둣점 및 숫자까지 들어간 문장을 만들고 보통은 한글과 간단한 구둣점, 공백이 들어간 걸로 만듭니다. 결론적으로 띄어 쓰기 하나라도 틀리면 암호가 틀리게 되어 저 자신도 가끔 SPACE 키 한 번 잘못 눌러 틀리는 경우가 있조. 뭐 이런 식입니다.

나의 생에서 가장 어려운 시기는 2007년 이었다.

이런 식인데 고대로 치진 않고 영문 입력 모드로 놓고 두벌식 기준으로 입력합니다. 중요한건 이미 있는 문장으로 만들지는 않는다는 거조.(애국가 1절이라던가 국민 교육 헌장 이라던가 아니면 뭐 그런 거 있잖아요...)
-- 사랑천사 --
LECL | Blog
yeosong@gmail.com
yeosong@gmail.com(네이트온) ysnglee2000(Skype)

사람천사

지리즈의 이미지

도대체 무슨 문장을 선택했는지 어떻게 유추해 낸다는 겁니까!

There is no spoon. Neo from the Matrix 1999.

There is no spoon. Neo from the Matrix 1999.

pogusm의 이미지

참고 : http://la-samhna.de/library/brutessh.html (Defending against brute force ssh attacks)
참고 : http://cipherdyne.org/fwknop/docs/SPA.html (SPA(single packet authentication))

평소엔 80번 포트만 열려있다가..(웹서버라면)
특정패킷을 특정포트(62201)로 전송하면, ssh 포트를 일정시간(30초)동안 열어서 접속이 가능하게 해주는 방식이요..

포트노킹보다 SPA방식이 더 진보된방식이라고 알고있습니다..

포트노킹(6356포트 한번 노킹 - 9356포트 한번 노킹 - 3356포트 두번 노킹)은 노킹(똑똑)하는 순서/횟수가 유출될 가능성이 있지만,

SPA방식은, 랜덤데이타+타임스탬프+패스워드를 암호화해서 전송하기때문에 매번 다른 패킷이 전송되고, 해당 패킷의 '시간' 값을 이용해서 유효성을 검사하기때문에, 재사용이 불가능하므로 안전합니다.

drawhan의 이미지

사용자가 임의로 만든 계정을 제외한 모든계정의 쉘 접속을 막고 (물론 root도 막음)
불필요 서비스 포트를 다 막는거지요..

아직까지 뚫리지는 않았습니다만.. 한숨좀 돌리고 다시 보안 강화책을 생각해봐야겠지요 ㅎㅎ

DebPolaris의 이미지

잘은 모르지만
문자(특히 shift 포함)+숫자+특수문자 조합이면 위 사이트에서 시간이 더 오래 걸린다고 나오는 군요.

제 생각에는 적절한 조합과 한 번도 사용되지 않은 문장 정도면 안전할 듯 합니다.
물론 주기적으로 비밀번호를 바꾸는 것이 더 좋은 방법이 아닐까 합니다만...

근데 위 사이트 안전한 건가요??

--------------------------------------------------------
남이 가르쳐주는 것만 받아들이는 것이 아니라, 스스로 만들고, 고쳐가는 사람을 '해커'라고 부른다.
그리고 자신이 쌓아온 노하우를 거리낌없이 나눌 줄 아는 사람을 '진정한' 해커라고 한다.
-Rob Flickenger 'Linux server hacks'
http://heuno

-----------------------------------------------------
남이 가르쳐주는 것만 받아들이는 것이 아니라, 스스로 만들고, 고쳐가는 사람을 '해커'라고 부른다.
그리고 자신이 쌓아온 노하우를 거리낌없이 나눌 줄 아는 사람을 '진정한' 해커라고 한다.
-Rob Flickenger 'Linux server hacks'

DEBIAN TESTING, KDE...
debpolaris.blogspot.kr

neocoin의 이미지

소스를 보니, 오직 javascript 만으로 계산하고 통신 로직은 없어 보입니다.

ironiris의 이미지

암호의 어려움도 중요하지만
로그인할 수 있는 IP 대역을 따로 관리합니다.

문제는 다른 자리에서 로그인이 안된다는....

전웅의 이미지

http://denyhosts.sourceforge.net/

복잡한 것 싫으시면 이것도 쓸만합니다.

--
Jun, Woong (woong.jun at gmail.com)
Web: http://www.woong.org (서버 공사중)

--
Jun, Woong (woong at gmail.com)
http://www.woong.org