우분투 22.04 LTS에 fail2ban 설치 및 설정하기 (feat. 리눅스 보안설정)

fail2ban으로 brute force attack (무작위 대입공격) 막아보자.


나는 현직 SE(Server Engineer)다.
직업 특성상 수많은 서버들을 다뤄봤었는데, Linux계열 서버를 관리할 때 가장 많이 겪어 본 서버공격 사례 중 하나가 바로 'brute force attack' 이다.

brute force attack는 '무작위 대입공격' 으로 불리는 공격 중 하나로, 무차별적으로 아이디와 패스워드를 대입해서 접속 시도를 하는 공격이다.
이는 패스워드를 복잡하게 만드는 것으로도 막을 수 있지만, 과도한 공격으로 인해 서버에 부하가 오거나 공격시도가 찝찝하게 느껴 질 때가 있다.

이때 공격자의 ip를 확인하고 자동으로 차단해주는 프로그램이 있다면 앞선 걱정을 말끔히 씻어낼 수 있다.

이번 포스팅에서는 이러한 프로그램 중 하나인 'fail2ban'에 대해 자세하게 알려주겠다.


따라오라고~!


fail2ban 설치하기

  1. sudo apt install fail2ban -y : fail2ban 설치, ubuntu 22.04 LTS에는 레포지토리에 기본으로 포함되어 있다.
  2. sudo systemctl enable fail2ban --now : 부팅 시 자동으로 시작
fail2ban 설치
fail2ban 설치

fail2ban 설정하기

fail2ban을 설치한 후에는 설정 파일을 수정해서 원하는 서비스에 대한 보호 규칙을 적용할 수 있다.
fail2ban의 설정 파일은 /etc/fail2ban/ 디렉토리에 위치하고 있는데, 이 디렉토리에는 jail.conf, jail.local, jail.d, filter.d, action.d 등의 파일과 폴더가 있다.

jail.conf 파일은 fail2ban의 기본 설정을 담고 있고, jail.local 파일은 사용자가 커스텀한 설정을 담을 수 있는데 보통 jail.conf는 그대로 두고 jail.local 파일을 수정해서 쓴다.

jail.d 폴더는 각 서비스에 대한 설정을 별도의 파일로 저장할 수 있다.
jail.local에 모든 설정을 넣지않고 서비스별로 구분해서 사용하고 싶을 때, 여기에 별도 설정 파일을 만들어서 사용한다.

filter.d 폴더는 로그 파일에서 공격자의 IP 주소를 인식하는 방법을 정의한 필터 파일들이 있고, action.d 폴더는 IP 주소를 차단하는 방법을 정의한 액션 파일들이 있다.
보통 그냥 두고 쓴다.

fail2ban 설정파일
fail2ban 설정파일


fail2ban 설정 예시 : SSH

예를 들어, SSH에 대한 공격차단을 하고자 할 때 아래의 설정을 사용할 수 있다.
우선 sudo vi /etc/fail2ban/jail.d/ssh.conf로 파일을 생성하고 아래 내용을 설정한다.

[ssh]
enabled = true
port = 22
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600

이 설정은 SSH 포트(22번)에 대해 sshd 필터를 적용하고, /var/log/auth.log 파일을 모니터링하면서, 3번 이상 실패한 IP 주소를 1시간 동안 차단하도록 하는 설정이다.

설정 후 반드시 sudo systemctl restart fail2ban 을 실행해서 설정파일이 적용되도록 해줘야 한다.

설정 후 테스트를 할 수 있는데, 사무실에서 한다면 꼭 ip가 다른 pc에서 테스트하기 바란다.
보통 사무실은 동일 대역대를 사용하는데 보통 외부 ip가 동일하기 때문에 vpn등을 이용해서 우회ip를 이용해서 테스트 할 것.
아니면 사무실 전체 pc에서 접속못하는 불상사가 발생할 수 있다.

3번 이상 실패하면 IP 주소가 차단되고, SSH 접속이 불가능해진다.
IP 주소가 차단된 것을 확인하려면, sudo iptables -L -n 명령어를 실행해서 iptables의 규칙을 확인해보면 된다.
fail2ban은 iptables를 사용해서 IP 주소를 차단하기 때문에, iptables에 fail2ban이 생성한 규칙이 보일 것이다.

IP 주소를 차단해제하려면, sudo fail2ban-client unban <IP> 명령어를 실행하면 된다.
서비스 상태를 확인하려면 sudo fail2ban-client status ssh를 입력하면 된다.
아래 스크린샷은 root계정을 이용했기 때문에 sudo 명령어가 필요없다.

fail2ban ssh 차단
fail2ban ssh 차단


fail2ban설정 예시 : apache

Apache 웹 서버에 대한 보호 규칙을 적용하고 싶다면, 아래 설정을 사용할 수 있다.
우선 sudo vi /etc/fail2ban/jail.d/apache2.conf로 파일을 생성하고 아래 내용을 설정한다.

[apache2]
enabled = true
port = 80,443
filter = apache-auth
logpath = /var/log/apache2/*error.log
maxretry = 3
bantime = 3600

이 설정은 Apache 웹 서버의 포트(80번과 443번)에 대해 apache-auth 필터를 적용하고, /var/log/apache2/*error.log 파일을 모니터링하면서, 3번 이상 실패한 IP 주소를 1시간 동안 차단하도록 한다.

설정 후 fail2ban 재시작은 필수.

fail2ban apache 차단
fail2ban apache 차단


마치며

이번 포스팅에서는 brute force attack 공격에 효과적으로 대응할 수 있는 fail2ban에 대해 알아보았다.
예시에서 이야기한 ssh나 apache뿐만 아니라 여러 프로그램에도 적용할 수 있으니 유용하게 사용하길 바란다.

이번 포스팅은 여기까지.

글 쓰는 Jiniwar
글 쓰는 Jiniwar



댓글

댓글 쓰기

이 블로그의 인기 게시물

crontab 설정방법과 로그 확인하는 법

crontab이란? crontab은 리눅스에서 주기적으로 특정 작업을 수행하도록 예약하는 명령어입니다. 예를 들어, 매일 밤 백업을 하거나, 매주 월요일에 로그를 삭제하거나, 매시간마다 시스템 상태를 체크하는 등의 작업을 crontab을 이용하여 자동화할 수 있습니다. crontab은 크게 두 가지로 구분할 수 있습니다. 시스템 전체의 crontab : /etc/crontab 파일에 정의된 작업들로, 모든 사용자가 공유합니다. 개별 사용자의 crontab : 각 사용자가 crontab 명령어로 생성하고 관리하는 작업들로, 해당 사용자만이 접근할 수 있습니다. 이번 포스팅에서는 개별 사용자의 crontab에 대해 알아보고, 설정방법과 성공여부 확인 방법에 대해 설명하겠습니다. crontab 설정방법 crontab 명령어는 다음과 같은 옵션을 가집니다. -e : crontab 파일을 편집합니다. 기본적으로 vi 에디터가 열리지만, EDITOR 환경변수를 설정하여 다른 에디터를 사용할 수 있습니다. -l : 현재 설정된 crontab 파일의 내용을 출력합니다. -r : 현재 설정된 crontab 파일을 삭제합니다. crontab 파일을 편집하려면 다음과 같이 명령어를 입력합니다. 1 $ crontab -e cs 그러면 다음과 같은 형식으로 작업을 정의할 수 있습니다. 1 분 시 일 월 요일 명령어 cs 각 항목은 다음과 같은 의미를 가집니다. 분 : 0 ~ 59 사이의 숫자로, 명령어가 실행될 분을 지정합니다. 시 : 0 ~ 23 사이의 숫자로, 명령어가 실행될 시간을 지정합니다. 일 : 1 ~ 31 사이의 숫자로, 명령어가 실행될 날짜를 지정합니다. 월 : 1 ~ 12 사이의 숫자로, 명령어가 실행될 달을 지정합니다. 요일 : 0 ~ 6 사이의 숫자로, 명령어가 실행될 요일을 지정합니다. 0은 일요일, 1은 월요일 … 6은 토요일입니다. 명령어 : 실행할 쉘 스크립트나 프로그램의 경로와 옵션입니다. 예를 들어, 매일 오전 10시에 /home/user/backup.
자세한 내용 보기

Microsoft Defender 방화벽 설정 또는 해제하는 방법

이미지
저는 집에서 아이들이 컴퓨터를 사용하는 것을 적극 찬성하는 입장입니다. 와이프는 게임을 많이 한다고 질색팔색이긴한데, 저는 우선 컴퓨터와 친해지는 과정이 있어야 나중에 컴퓨터에 흥미를 느끼고 깊게 이해할 수 있다고 생각하기 때문에 게임을 하건, 유튜브를 보건 무조건 컴퓨터를 많이 해보라고 합니다. 어제, 와이프와 드라이브를 하고 있는데 딸아이에게 전화가 왔습니다. "아빠, 우리집 컴퓨터에 VPN 있어? 있으면 사용하는 방법 좀 알려줘." 오오...무려 VPN 사용법! 로블록스 게임 중 국내에서 플레이 할 수 없는 게임을 하고 싶어서 라는데 이유가 어찌됐건 간에 딸아이한테서 VPN에 대한 이야기가 나왔다는게 대견했습니다. 하지만 VPN을 사용하기 위해서는 기본적인 윈도우 보안에 대해서도 알아둘 필요성이 있을 것 같아서, 이번 포스팅은 윈도우의 기본 방화벽인 'Microsoft Defender'에 대해 알아볼까 합니다. 아이들이 봐야 할 포스팅이기 때문에 최대한 쉽고 재미있게 작성해보려고 하는데 잘 될지는 모르겠네요^^; 그럼 시작해보겠습니다. Windows 10과 Windows 11에서 Microsoft Defender 방화벽을 쉽고 빠르게 설정하거나 해제하는 방법을 아이들도 알 수 있도록 쉽게 알려드립니다. Microsoft Defender 방화벽이 뭐야? 안녕하세요. 오늘은 윈도우 보안의 비밀병기, Microsoft Defender 방화벽에 대해 이야기해볼까 합니다.  Microsoft Defender 방화벽은 Windows에 내장된 슈퍼 보안 기능이에요. 무단으로 장치나 네트워크에 들어오려는 악당들을 막아주는 역할을 해줘요. Microsoft Defender 방화벽은 장치가 네트워크에 연결되어 있는 동안에도 항상 깨어있어서 지켜봐줘요.  그런데 가끔은 다른 방화벽과 싸우거나 원하는 앱이나 프로그램을 실행하지 못하게 막을 수도 있어요. 그럴 때는 Microsoft Defender 방화벽을 잠시 꺼주거나 켜줄 수 있어요. 이 글
자세한 내용 보기

한국 군비지출 세계 9위

이미지
한국 군사비지출 세계 9위, 그 이유와 의미는? 세계의 군사비지출이 사상 최고치를 기록했다는 보고서가 발표되었습니다. 스톡홀름 국제평화재단(SIPRI)이 24일(현지시간) 발표한 '2022 세계 군비지출 동향' 보고서에 따르면, 지난해 세계 군비 지출액은 전년보다 3.7% 상승한 2조 2천400억 달러(약 2천900조 원)로 역대 최고 기록을 세웠습니다. 이는 세계 국내총생산(GDP) 총합의 2.2%에 해당합니다 세계 군비지출 순위 세계 군비지출 순위는 다음과 같습니다 세계 군비지출 순위 (1 ~ 10위) 한국은 지난해 군비 예산을 전년 대비 2.9% 늘렸으나, 인플레이션을 감안한 실질 군사비 지출은 2.5% 줄어들었습니다. 총 비용은 세계에서 아홉 번째로 많은 수준입니다. 일본은 지난해 실질 군사비 지출이 전년보다 5.9% 증가하면서 한국과 자리를 바꾸었습니다. 세계 군비지출 증가의 배경과 영향 세계 군비지출이 계속 증가하는 것은 우리가 점점 더 불안정한 세계에 살고 있다는 신호입니다.  SIPRI는 러시아의 우크라이나 침공, 미국과 중국의 경쟁에 따른 동아시아의 긴장 고조를 전세계 지출을 늘린 요인으로 지목했습니다 이러한 국제적 긴장 상황은 코로나19 팬데믹으로 인해 경제적으로 어려움을 겪고 있는 많은 국가들에게 부담을 가중시키고 있습니다. SIPRI는 코로나19로 인해 군비지출을 줄인 국가는 13개에 불과하며, 그 중에서도 대부분은 이미 군비지출이 낮은 수준이었다고 밝혔습니다. 반면에 미국과 중국은 각각 4.4%, 1.9%의 군비지출을 증가시켰으며, 이는 세계 군비지출 증가의 60%를 차지했습니다. 전세계적으로 증가추세인 군비지출 한국의 군비지출 증가의 이유와 의미 한국은 세계에서 아홉 번째로 많은 군비지출을 하는 나라입니다. 한국의 군비지출 증가에는 여러 가지 이유가 있습니다. 첫째, 한국은 북한의 핵과 미사일 위협에 직면해 있으며, 이를 대응하기 위해 고도 미사일 방어체계(THAAD), 탄도탄 요격체계(KAMD), 사드리 고도 탐지 레이
자세한 내용 보기