[질문]
해킹 방법중 하나인 무작위로 ID 와 PW 를 변경하면서 로그인

시도를 하는데요. 이것을 방어 하고 싶습니다. (SSH)

하나의 IP에서 3번 로그인 실패시 일정시간 동안(ex 10분)

로그인 접속금지 시키고 싶습니다.

보통 로그인 실패시 실패 메시지와 바로 접속할수 있는

터미널을 제공하는데 이것 자체를 막고 싶습니다.

설정 방법좀 알려주세요. 부탁드립니다.

[멍멍님의 답변]

sshd 설정 옵션 중에 그러한 기능을 하는 것이 있길 기대했는데 없군요.

다음과 같은 자료를 찾았는데, lshstar3님의 요구를 만족시킬 수 있을 것 같습니다.

대부분의 Linux 배포본에 기본으로 설치되는 iptables 방화벽을 이용한 방법인데요.

"특정 IP"가 "특정 시간" 내에 "특정 횟수" 이상 접근할 시 "특정 시간" 만큼

BLOCK 시킬 수 있는 기능입니다.

==============================================================================
# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSHSCAN
# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update \
--seconds 60 --hitcount 8 --rttl --name SSHSCAN -j LOG --log-prefix SSH_Scan:
# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update \
--seconds 60 --hitcount 8 --rttl --name SSHSCAN -j DROP
==============================================================================

위 설정은 어떤 IP가 60초 동안 8번 이상 SSH 접속을 시도하면, 60초 동안 BLOCK하는

역할을 합니다.

위 설정을 구미에 맞게 잘 수정하시면 원하는 결과를 얻을 수 있을 거라 생각합니다.

다음은 위 설명에 대한 전체 내용입니다.

http://my.oops.org/index.php?pl=56&ct1=3&ct2=2