서랍속의 작은 이야기

fail2ban으로 brute force attack (무작위 대입공격) 막아보자. 나는 현직 SE(Server Engineer)다. 직업 특성상 수많은 서버들을 다뤄봤었는데, Linux계열 서버를 관리할 때 가장 많이 겪어 본 서버공격 사례 중 하나가 바로 'brute force attack' 이다. brute force attack는 '무작위 대입공격' 으로 불리는 공격 중 하나로, 무차별적으로 아이디와 패스워드를 대입해서 접속 시도를 하는 공격이다. 이는 패스워드를 복잡하게 만드는 것으로도 막을 수 있지만, 과도한 공격으로 인해 서버에 부하가 오거나 공격시도가 찝찝하게 느껴 질 때가 있다. 이때 공격자의 ip를 확인하고 자동으로 차단해주는 프로그램이 있다면 앞선 걱정을 말끔히 씻어낼 수 있다. 이번 포스팅에서는 이러한 프로그램 중 하나인 'fail2ban'에 대해 자세하게 알려주겠다. 따라오라고~! fail2ban 설치하기 sudo apt install fail2ban -y : fail2ban 설치, ubuntu 22.04 LTS에는 레포지토리에 기본으로 포함되어 있다. sudo systemctl enable fail2ban --now : 부팅 시 자동으로 시작 fail2ban 설치 fail2ban 설정하기 fail2ban을 설치한 후에는 설정 파일을 수정해서 원하는 서비스에 대한 보호 규칙을 적용할 수 있다. fail2ban의 설정 파일은 /etc/fail2ban/ 디렉토리에 위치하고 있는데, 이 디렉토리에는 jail.conf, jail.local, jail.d, filter.d, action.d 등의 파일과 폴더가 있다. jail.conf 파일은 fail2ban의 기본 설정을 담고 있고, jail.local 파일은 사용자가 커스텀한 설정을 담을 수 있는데 보통 jail.conf는 그대로 두고 jail.local 파일을 수정해서 쓴다. jail.d 폴더는 각 서비스에 대한 설정을 별도의 파일로 저장할 수 있다.