공돌이의 하루

우분투 ssh 서비스를 사용하다보면 해외에서 여러번 접속을 시도하면서 서버 해킹을 시도하는 것을 어렵지 않게 볼 수 있습니다. 이를 막기 위해선 몇가지 보안 세팅이 필수입니다. 단순히 접속 시도 로고만 들어가도 많은 시도가 있는 걸 알 수 있습니다.

보안 세팅에는 해외 ip 차단, 연속접속시도 차단이 있습니다.

해외 ip 차단 - GeoIP Country Database

연속접속시도 차단 - fail2ban

fail2ban 상태 확인

sudo fail2ban-client status

Ban 풀기

- 단일 ip

sudo fail2ban-client set unbanip <IP 주소>

- 다중 ip

sudo fail2ban-client unban <IP 주소> ... <IP 주소>

- 전부

sudo fail2ban-client unban --all

로그 확인

sudo vi /var/log/fail2ban.log

ssh를 사용하다보면 외부에서 무작위로 접근해 공격하는 일이 생긴다. 따라서, 연속적인 접속 시도를 막아 서버의 보안을 강화할 수 있는 fail2ban을 설정이 필요하다. 오늘은 fail2ban을 세팅해보자.

목차

1. 시스템 페키지 업데이트

2. fail2ban 패키지 설치

3. config 세팅

4. fail2ban 재시동 및 동작 여부 확인

1. 시스템 페키지 업데이트

fail2ban 패키지를 설치하기 전 시스템 패키지를 업데이트해준다.

sudo apt update && sudo apt upgrade

2. fail2ban 패키지 설치

sudo apt install fail2ban

3. config 세팅

패키지가 업데이트될 때 덮어 쓸 수 있으니 설정 파일을 복사하고 다른 파일을 사용한다.

sudo cp /etc/fail2ban/jail.{conf,local}

sudo vi /etc/fail2ban/jail.local

아래로 쭉 내리다보면 아래 내용이 나온다.  #(주석)을 지워주고 내용을 추가해주자.

bantime = -1: 영구 차단

findtime = 10m: 반복적인 접속시도 간격, 10동안 연속 접속하면 차단

maxretry = 5: 최대 연속 접속 횟수

4. fail2ban 재시동 및 동작 여부 확인

sudo systemctl restart fail2ban.service
sudo systemctl status fil2ban.service

이렇게 나오면 fail2ban 세팅은 끝이다.

+ fail2ban을 사용하다보면 잠긴 계정을 풀거나 로그를 확인할 일이 필요하다. 관련 명령어는 아래 게시글을 참고하기 바랍니다.