ssh 보안 관련 질문입니다.

안녕하십니까? 오늘과내일의 홍석범입니다.

여기서 위의 아이피를 대역대로 차단하려고 하는데  0.0/16 으로 차단들 하여도 되는지또한 iptables만으로 차단이 가능한지 알고 싶습니다.
==> 조회를 해 보니 /16 대역 모두 홍콩으로 보입니다. 홍콩에서 접속할 필이 없다면 차단하셔도 되겠습니다.그리고 차단하시려면
iptables -A INPUT -p tcp -s 218.188.0.0/16 -j DROP 으로 하시면 됩니다.

그리고 최근들어서 로그를 확인해보면 아래같은 로그흔적이 있습니다.이것은 어떤것인지 알고 싶습니다.

 293609 Oct  8 05:31:38 www sshd[25501]: Address 216.117.149.241 maps to nameservices.net, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
==> ssh 접속 시도한 소스IP인 216.117.149.241 의 PTR값은 nameservices.net인데, nameservices.net,의 실제 ip는 위 주소가 아니므로 혹 침입이아닌가 로그를 남긴것입니다.
흔히 있을 수 있는 일이므로 크게 신경쓰지 않으셔도 되겠습니다.
 

 293610 Oct  8 05:31:38 www sshd[25501]: User root not allowed because not listed in AllowUsers
==> 말 그대로 AllowUsers에 설정되어 있지 않는 root 로 접속시도를 하였으므로 차단하였다는 의미입니다.

가능하시다면 방화벽을 엄격하게 설정하여 허용된 IP이외의 접근은 차단하시는 것이 좋습니다.

감사합니다.

이경수 님의 글

안녕하세요 .

오늘 메일을 확인해 보니 저희 서버 보안서비스를 대행하는 곳에서

귀사의 네트워크에서 저희가 관리하는 해당 시스템으로 비정상적인 Network Activity가 탐지되었습니다. <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

자세한 내용은 아래를 참고하시길 바랍니다.                                                 

------------------------------------------------------------------------------------------------------

- Intrusion Detection System Log 

이런 메일이 왔습니다..

그래서 일단은 로그 확인과 위 아이피를 확인하여 보니

홍콩에서 들어온 아이피이고 로그 내역에서도 많은양의 내역이 확인되어

일단은 iptables로 드롭조취를 하였습니다.

여기서 위의 아이피를 대역대로 차단하려고 하는데  0.0/16 으로 차단들 하여도 되는지

또한 iptables만으로 차단이 가능한지 알고 싶습니다.

ssh는 root직접접근 차단 허용된 유저만 접급 가능으로 설정되어 있습니다.

그리고 최근들어서 로그를 확인해보면 아래같은 로그흔적이 있습니다.

이것은 어떤것인지 알고 싶습니다. 또한 어떻게 해결해야 하는건지도...

 293609 Oct  8 05:31:38 www sshd[25501]: Address 216.117.149.241 maps to nameservices.net, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
 293610 Oct  8 05:31:38 www sshd[25501]: User root not allowed because not listed in AllowUsers

많은 고수님들의 도움을 기다립니다..

감사합니다.