iptables

Tags:

Resources – The Community’s Center for Security

http://bbs.kldp.org/viewtopic.php?t=46864&highlight=secure

글을 보다가 보안에 대해 다른 분들은 어느정도 생각을 가지고 계신지 궁금해서 글을 올립니다.
또한 적절한 조치도 같이 얻고자 합니다.

아마 지금 /var/log/secure 를 보면 아래와 같은 메세지를 보실 수 있을 것입니다.
인용:

Nov 11 22:38:53 www sshd[8924]: Illegal user oracle from :ffff:61.133.87.162
Nov 11 22:38:53 www sshd[8918]: Failed password for illegal user admin from ::ffff:61.133.87.162 port 57956 ssh2
Nov 11 22:38:56 www sshd[8925]: Failed password for illegal user oracle from ::ffff:61.133.87.162 port 57959 ssh2
Nov 11 22:39:01 www sshd[8909]: Did not receive identification string from ::ffff:61.133.87.162
Nov 11 22:39:03 www sshd[8932]: Failed password for illegal user test from ::ffff:61.133.87.162 port 57978 ssh2

/var/log/message 를 보아도.

인용:

Nov 7 13:17:10 www sshd(pam_unix)[15958]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.38.13.18 user=nobody
Nov 7 13:17:30 www sshd(pam_unix)[16029]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.38.13.18 user=operator
Nov 7 13:17:36 www sshd(pam_unix)[16039]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.38.13.18 user=adm
Nov 7 13:17:38 www sshd(pam_unix)[16041]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=218.38.13.18 user=root

데비안 같은 경우 /var/log/auth.log 를 보면 되겠구요.

접속시도하는 계정도 다양하지요. root 부터 해서, adm , nobody , test , oracle , mysql , user , data , sybase …

서버관리자의 보안 의식에 따라 다르겠지만, 전 심지어 oracle 계정의 암호를 없는 것도 보았던 차라. 이런 공격이 무시할 수가 없더군요.

저는 우선 암호 없는 계정이 있나 확인을 하고, root 로의 접속을 막고 있습니다.
좀더하면 신뢰할 수 있는 접속IP 이외의 접속은 아예 iptable 에서 막아버리고 있고요.

예전 telnet 쓰다가 , ssh 로 쓰긴하지만, 이것도 완벽하다라고 생각하고 소홀이 하면 오히려 더 나쁜 경우도 있을 수 있겠더라구요.

또한 전용선을 공유하는 곳에 있는 경우 smb , 네트웍 환경도 주의를 해야 합니다.
떡하니 암호없이 공유하는 사람도 간혹 보거든요.
저희 사무실내의 PC 는 방화벽 안쪽에 다 넣어놓긴 하지만요.

아무튼 간혹 보다보면 어이없는 곳에서 허술한 경우가 많습니다.

여러분들은 어느정도 신경쓰시고, 조치하고 계신지요?

각자의 경험을 바탕으로 토론하면 재미있을 것 같습니다.

문득 tail -f /var/log/security를 했더니 미친듯이 유럽의 듣도 보도 못한 대학에서 말도 안되는 아이디로 무작위 접속을 시도하고 있길레, firewall disable 해놓고 살던 서버에, 갑자기 iptables 설정하고 그쪽 아이피 막아버림.
그 후 취미로 콘솔에 로그 보면서 iptables 막으면서 놀고 있음….

역시 보안에 전혀 신경 안쓰면 안되겠다..라고 생각함.

그 뒤, 심지어 _vti_bin/ 인가(맞나?) 하는 IIS 쪽 버그를 사용해서 공격해보려고 무작위로 시도하기도 하고 기타 등등 하루에도 너댓개의 다른 아이피에서 들어오려고 발버둥치고 있음을 알게 되었음..

맨 위의 링크는 linux security 관련 문서임.

Comments

2 responses to “iptables”

  1. lostmyth Avatar
    lostmyth

    Iptables의 Patch-O-Matic 이라는 것과 커널의 experimental option을 사용하면 packet의 string match까지 할 수 있지. IIS 공격 정도는 log에도 남기지 않을 수 있어. ssh 공격이야 뭐 어쩔 수 없다 치더라도.

  2. 민구 Avatar
    민구

    rpm으로 설치되는 녀석이 IIS 버그를 보고한다는게 웃기다고 생각하고 있었음.. 옵션이 있는 거로군.

Leave a Reply

Your email address will not be published. Required fields are marked *