저희 서버에서 타 서버로 SSH brute force 공격

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

말씀하신대로 내부에서 외부로 ssh 스캔을 시도했다면 당연히 악의적인 유저가 서버내 임의의 계정을 획득하여 스캔을 진행했다는 것을 뜻합니다. 그러나 일반적인 스캔은 root가 아닌 일반 유저로도 가능하기 때문에 반드시 root 권한을 빼앗겼다고 할 수는 없습니다. 단순히 추측이 가능한 pw를 통해 로그인후 스캔을 진행하였을 수도 있으므로  어떤 권한을 획득하였는지 먼저 확인하셔야 합니다. 만약 일반 유저 권한까지 획득하였다면 해당 유저의 암호를 변경하거나 lock을 걸고 접근을 차단하여야 합니다. 그리고,

1. john the ripper 이라는 프로그램을 이용하여 쉬운 암호를 사용하는 계정을 찾아 암호를 어렵게 설정 변경하고 --(본서47p에 자세한 안내참조)

2. ssh 설정에서 허용된 유저만 또는 허용된 ip에서만 접근할 수 있도록 보안 설정을 하시기 바랍니다. 또는 port 번호를 22대신 825와 같이 변경하는 것도 무작위 스캔에 대한 대응방법중 하나가 될 수 있습니다.
  (본서 284p-SSH보안-에 자세한 안내 참조)

3. 그러나 가장 좋은 방법은 iptables 방화벽으로 커널 레벨에서 접근 통제를 엄격하게 하는 것입니다. 이러한 경우 일일이 로그를 체크하지 않더라도 안심하실 수 있습니다. 본서를 보시면 iptables 방화벽의 활용방법에 대해 자세하세 설명되어 있습니다.

감사합니다.