리눅스 분류
특정 아이피 접속시도를 차단할수 있는 방법좀 부탁드립니다.
작성자 정보
- 김양현 작성
- 작성일
컨텐츠 정보
- 2,747 조회
- 2 댓글
- 0 추천
- 목록
본문
페도라 코아 5 입니다.
로그기록을 확인해보면
Jan 13 03:04:41 skypia sshd[7615]: refused connect from ::ffff:59.108.230.130 (::ffff:59.108.230.130)
처럼 같은 아이피가 계속 sshd로 접속을 시도 하고 있습니다.
iptable과 hosts.deny에도 차단시켜 놓았는데 계속 접속을 시도 하고 있습니다.
아직 접속은 되지 않고 있습니다만 어떻게 대처 해야 하는지 모르겠군요.
아직 보안에 대해서는 깊이 알지를 못해 불안감은 더욱 커지고 있습니다.
이럴경우 접속시도를 할 경우 아이디나 비밀번호 오류가 하루에 몇번이상 되면 접속을 시도하는 아이피 모두에 대해서는 당일 접속시도 자체를 거부 할수 있는 방법은 없는지 알고 싶습니다.
증권 hts같은 경우는 아이디나 공인인증번호 오류가 5회 이상이 나면 그 날은 모든 접속 자체를 거부 하던데 그런식의 방법을 알고 싶습니다.
그리고 host.allow 에 ssh, ftp는 본인의 아이피 하나만 접속할수 있고 다른 모든 아이피는 접속을 거부 할수 있도록 설정하는 방법도 알려 주시면 감사하겠습니다.
그리고 로그기록중에 매일 거의 같은 시각에
Jan 13 04:13:37 skypia su: pam_unix(su:session): session opened for user beagleindex by (uid=0)
Jan 13 04:13:44 skypia su: pam_unix(su:session): session closed for user beagleindex
Jan 13 04:13:44 skypia su: pam_unix(su:session): session opened for user beagleindex by (uid=0)
Jan 13 04:19:43 skypia su: pam_unix(su:session): session closed for user beagleindex
이런게 나오는데 이건 무슨 내용인가요?
user beagleindex 라는 사용자가 su 명령어를 사용하는것이 아닌가 하여 많이 의심 스럽습니다.
이럴경우 해커에 의한 악행이라면 대처방법은 어떠한것이 있는지도 알고 싶습니다.
로그기록을 확인해보면
Jan 13 03:04:41 skypia sshd[7615]: refused connect from ::ffff:59.108.230.130 (::ffff:59.108.230.130)
처럼 같은 아이피가 계속 sshd로 접속을 시도 하고 있습니다.
iptable과 hosts.deny에도 차단시켜 놓았는데 계속 접속을 시도 하고 있습니다.
아직 접속은 되지 않고 있습니다만 어떻게 대처 해야 하는지 모르겠군요.
아직 보안에 대해서는 깊이 알지를 못해 불안감은 더욱 커지고 있습니다.
이럴경우 접속시도를 할 경우 아이디나 비밀번호 오류가 하루에 몇번이상 되면 접속을 시도하는 아이피 모두에 대해서는 당일 접속시도 자체를 거부 할수 있는 방법은 없는지 알고 싶습니다.
증권 hts같은 경우는 아이디나 공인인증번호 오류가 5회 이상이 나면 그 날은 모든 접속 자체를 거부 하던데 그런식의 방법을 알고 싶습니다.
그리고 host.allow 에 ssh, ftp는 본인의 아이피 하나만 접속할수 있고 다른 모든 아이피는 접속을 거부 할수 있도록 설정하는 방법도 알려 주시면 감사하겠습니다.
그리고 로그기록중에 매일 거의 같은 시각에
Jan 13 04:13:37 skypia su: pam_unix(su:session): session opened for user beagleindex by (uid=0)
Jan 13 04:13:44 skypia su: pam_unix(su:session): session closed for user beagleindex
Jan 13 04:13:44 skypia su: pam_unix(su:session): session opened for user beagleindex by (uid=0)
Jan 13 04:19:43 skypia su: pam_unix(su:session): session closed for user beagleindex
이런게 나오는데 이건 무슨 내용인가요?
user beagleindex 라는 사용자가 su 명령어를 사용하는것이 아닌가 하여 많이 의심 스럽습니다.
이럴경우 해커에 의한 악행이라면 대처방법은 어떠한것이 있는지도 알고 싶습니다.
관련자료
-
이전
-
다음
댓글 2
아레아님의 댓글
- 아레아
- 작성일
크론에 등록해둔 스크립트 같은게 있나요? 아래 로그기록은 그 스크립트에서 이용되는 것 같은데..
해석하면 말그대로 beagleindex 라는 계정이 su 명령으로 13:37, 13:44 에 접속하고 13:44,19:43 에 종료하였습니다.
근데 uid=0는 보통 crond 에서 이용되는 걸로 알고 있어요..맞는진 모르겠지만..;;
그리고 아이디나 인증오류 반복으로 인해 접속 차단은 웹설정입니다. ssh나 ftp 접속으로 비슷한 설정은 힘들 것 같네요..
본인만 접속하신다면 해당서버에서만 접속되게 하려고 하시는지요?
그러면 /etc/hosts.allow 는 두시고 /etc/hosts.deny 만 ALL:ALL 로 설정하면 외부에서 접속이 안될 것입니다.
해석하면 말그대로 beagleindex 라는 계정이 su 명령으로 13:37, 13:44 에 접속하고 13:44,19:43 에 종료하였습니다.
근데 uid=0는 보통 crond 에서 이용되는 걸로 알고 있어요..맞는진 모르겠지만..;;
그리고 아이디나 인증오류 반복으로 인해 접속 차단은 웹설정입니다. ssh나 ftp 접속으로 비슷한 설정은 힘들 것 같네요..
본인만 접속하신다면 해당서버에서만 접속되게 하려고 하시는지요?
그러면 /etc/hosts.allow 는 두시고 /etc/hosts.deny 만 ALL:ALL 로 설정하면 외부에서 접속이 안될 것입니다.
김양현님의 댓글의 댓글
- 김양현
- 작성일
답변 감사합니다.
말씀하신대로 cron table에 백업시키는 프로그램이 돌고 있습니다.
그것 때문에 나온거군요.
모든 걱정이 한방으로 사라진거 같아 매우 기분이 좋군요.
다시한번 자상한 답변주신 아레아님께 감사드립니다.
말씀하신대로 cron table에 백업시키는 프로그램이 돌고 있습니다.
그것 때문에 나온거군요.
모든 걱정이 한방으로 사라진거 같아 매우 기분이 좋군요.
다시한번 자상한 답변주신 아레아님께 감사드립니다.
