오늘 우연찮게 message 로그를 보게 되었는데..

이런!!!!

이런 메세지들이 엄청나게 있는것이 아닌가?ㅡㅡ;;;;

어떤 XX가 서버에 root로 로그인을 하려고 수작을 부리는게 분명했다..

그래서 어떻할까 고민을 하다가 우선은 sshd의 root 접속을 막고, 포트를 바꿔야 겠다..ㅋ

/etc/ssh/sshd_config 변경.
PermitRootLogin no
Port xxxx

그리고 restart!!
/etc/init.d/sshd restart

인터넷으로 검색…

작년말부터 유행하기 시작한 ssh를 통한 brute force 로서 쉬운 암호를 사용하는 계정에 대한 일종의 무작위대입법이라고 할 수 있습니다. 대부분의 유저들이 1234나 1111등 쉬운 암호를 사용한다는 점을 악용하여 무작위로 로그인을 시도하는 것입니다.

따라서
1. john the ripper 이라는 프로그램을 이용하여 쉬운 암호를 사용하는 계정을 찾아 암호를 어렵게 설정 변경하고 –(본서47p에 자세한 안내참조)

2. ssh 설정에서 허용된 유저만 또는 허용된 ip에서만 접근할 수 있도록 보안 설정을 하시기 바랍니다. 또는 port 번호를 22대신 825와 같이 변경하는 것도 무작위 스캔에 대한 대응방법중 하나가 될 수 있습니다.
(본서 284p-SSH보안-에 자세한 안내 참조)

3. 그러나 가장 좋은 방법은 iptables 방화벽으로 커널 레벨에서 접근 통제를 엄격하게 하는 것입니다. 이러한 경우 일일이 로그를 체크하지 않더라도 안심하실 수 있습니다. 본서를 보시면 iptables 방화벽의 활용방법에 대해 자세하세 설명되어 있습니다.

출처 : http://www.superuser.co.kr/home/superuserboard/view.html?id=801&code=security&start=&position=