이번에 IDC를 통해 공인아이피를 이용해서 쓰고있는 리눅스 서비스가 있는데 오늘 ssh로 접속하면서 로그인 시도를 보니 경악을 금치 못했다.
last -f /var/log/btmp 를 입력하면 ssh 접속시도를 확인할수 있습니다.
보통 나오는 아이피를 조회해보면..외국쪽에서 접속시도를 하는것을 볼수 있습니다.
이때 보통 할수있는 방법은
1. 포트 재설정
사용중인 포트 확인방법
(22번일경우)
netstat -an | grep :22
22번 포트 사용중인것을 확인 이후
포트재설정을 위해선 방화벽이 깔려야 합니다.
루트 계정 로그인후
방화벽설치
yum install firewalld
설치
이후 명령어
firewall-cmd --permanent --zone=public --add-port=지정될ssh포트번호 입력/tcp
예시) firewall-cmd --permanent --zone=public --add-port=2020/tcp
입력후 저장 명령어
firewall-cmd --reload
SSH 포트 수정
vi /etc/ssh/sshd_config
이후에 # 제거후 Port 원하는 포트로 변경 예시) Port 2020
:wq
로 저장
systemctl restart sshd
입력후 재시작
ssh 새로 로그인
사용중인 포트 확인
netstat -an | grep :22
조회결과 미사용
netstat -an | grep :2020
조회결과 LISTEN
2. ROOT 계정 막기
vi /etc/ssh/sshd_config
입력
PermitRootLogin no
:wq
로 저장
systemctl restart sshd
입력후 재시작
3. 일정 접속시도시 접속 차단 / 접속시도 유지시간 설정
vi /etc/ssh/sshd_config
입력
MaxAuthTries 2 디폴트는 6
LoginGraceTime 30 디폴트는 2m
:wq
로 저장
systemctl restart sshd
입력후 재시작