해킹일 것 같지만 해킹이 아닙니다....

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다

올려주신 글 감사합니다.

먼저 앞부분에 보이는 로그들은 아래에서도 여러번 답변을 드린 내용인데,
작년말부터 유행하기 시작한 ssh를 통한 brute force 로서 쉬운 암호를 사용하는 계정에 대한 일종의 무작위 대입법이라고 할 수 있습니다. 대부분의 유저들이 id와 동일하거나 1234나 1111등 쉬운 암호를 사용한다는 점을 악용하여 무작위로 로그인을 시도하는 것입니다.

따라서

1. john the ripper 라는 프로그램을 이용하여 쉬운 암호를 사용하는 계정을 찾아 암호를 어렵게 설정 변경하고 --(본서47p에 자세한 안내참조)

2. ssh 설정에서 허용된 유저만 또는 허용된 ip에서만 접근할 수 있도록 보안 설정을 하시기 바랍니다. 또는 port 번호를 22대신 825와 같이 변경하는 것도 무작위 스캔에 대한 대응방법중 하나가 될 수 있습니다.
  (본서 284p-SSH보안-에 자세한 안내 참조)

3. 그러나 가장 좋은 방법은 iptables 방화벽으로 커널 레벨에서 접근 통제를 엄격하게 하는 것입니다. 이러한 경우 일일이 로그를 체크하지 않더라도 안심하실 수 있습니다. 본서를 보시면 iptables 방화벽의 활용방법에 대해 100여 페이지 이상을 할당하여 자세하세 설명되어 있습니다.

리눅스를 운영하신다면 반드시 iptables 방화벽에 대해서는 사용방법을 익히시기를 바랍니다. iptables를 잘만 활용할 경우 50-70%이상의 보안 효과를 기대할 수 있으며 매번 로그를 모니터링하지 않으셔도 안심할 수 있습니다.

그리고, 마지막에 해킹으로 의심된다고 말씀하신 부분에 대해 답변드리겠습니다.

May  9 04:02:19 dctl su(pam_unix)[17410]: session opened for user news by (uid=0)
May  9 04:02:19 dctl su(pam_unix)[17410]: session closed for user news

적지 않은 분들이 위 로그를 보고 root 권한을 획득후 news라는 계정으로 su한 해킹이라고 답하신 경우가 있는데, 그렇지 않습니다. 왜냐하면

1.시작시간이 오전 4시 2분입니다.
2. 종료 시간이 동일한 4시 2분입니다.

여기에서 4시 2분에 주목할 필요가 있는데, 이 시간은 /etc/crontab을 보시면 cron.daily가 실행되는 시각입니다.   즉, /etc/cron.daily/에 있는 slrnpull-expire 패키지가 실행된 시각입니다. 이는 일종의 news reader 프로그램으로 사용하지 않는다면 삭제하셔도 됩니다.
(slrn에 대해서는 http://slrn.sourceforge.net/ 참고)

답변이 되셨는지요?

여러분의 시스템이 네트워크에 연결된 이상 보안에 신경쓰지 않으면 안 되는 때입니다.
멀고 어렵게만 느껴지는 보안에 "리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/)"가 큰 도움이 될 수 있을 것으로 확신합니다.

감사합니다.