Skip to content

기글하드웨어기글하드웨어

커뮤니티 게시판 : 아주 기본적인 네티켓만 지킨다면 자유롭게 쓸 수 있는 커뮤니티 게시판입니다. 포럼에서 다루는 주제는 각각의 포럼 게시판을 우선 이용해 주시고, 민감한 소재는 비공개 게시판이나 수상한 게시판에, 홍보는 홍보/외부 사용기 게시판에 써 주세요. 질문은 포럼 게시판의 질문/토론 카테고리를 사용해 주세요. 2016년 7월 이전의 글은 다음 링크를 참조하세요. 구 커뮤니티 게시판 / 구 공지사항 게시판 바로가기

잡담
2019.05.14 00:57

내 서버의 보안은 괜찮을까?

profile
하이쿠 https://gigglehd.com/gg/4880967
지루한 일상도 때론 즐겁게
조회 수 727 댓글 25

안녕하세요. 최근에 기글에서 SSH관련 보안글이 몇번 언급이 되었는데요.

 

이 글들을 보고 과연 내 서버는 보안에 문제점이있을까? 현상태가 어떤지 궁금해서 쭉 훑어보고왔습니다.

 

먼저 제 서버는 실험한다고 우분투 체계와 가볍게 워드프레스, 웹클라우드(droppy) 정도만 이용하고 있거든요.

 

 

가장먼저 워드프레스를 살펴보았습니다.

 

 

 

보안01.jpg

 

 

결과는 매우 흥미로웠습니다.

 

미리 워드프레스에 시큐리티 플러그인을 설치해두어 접속 로그을 볼 수 있었는데요. 하루만해도 100여건에 달하는 어드민 로그인 실패, 비정상 적인 페이지 호출 그 중 눈에띄는 기록이 비정상 적인 페이지 호출 91건입니다.

 

 

그래서 lO2.l65.35.l36 니놈은 누구냐? 해서 검색해보았습니다.

 

 

 

보안06.jpg

 

이런... 중국어로 뜨네요. 그럼 아이피의 위치는 어디일까? 검색을 해봅니다.

 

보안05.jpg

 

 

US로 나오네요. 뭐 역시 불법적인건 VPN 을 사용하여 US에서 침입한 중국인이네요.

 

 

사실 어드민 로그인자체에 대해서는 어느정도 염두해둔 부분입니다. 그래서 5회 이상 로그인 실패시 일주일간 접속금지 시키긴했지만 비정상적인 주소 접근에 대해서는 미처 생각을 못했습니다. 

 

아마도 비정상적인 주소 접근에는 구버전 워드프레스 취약점을 공격하는 소스 뭉텅이가 있지 않을까 추측합니다. 

 

하지만 다행이게도 항상 최신버전에 업데이트하다보니 매우 간단한(?) 9자리의 비밀번호를 아직 뚫진 못했습니다. 뭐 사설 블로그만해도 이 정도인데, 네이버, 티스토리같은 대형플랫폼은 얼마나 침입시도를 할까요?

 

 

 

 

그 다음은 SSH를 확인했습니다.

 

보안02.jpg

 

사실 이때 까지만해도 22번포트를 이용중이였습니다. 뭐 든거도없는데 설마하겠어? 라는 안일한생각이 불러온 결과네요.

 

SSH에 Fail2ban 을이용해서 10회이상 연속 틀린경우 바로 아이피 밴때리는걸로 설정해두었습니다. 저 역시도 관리자 비밀번호가 15자리가 되기때문에 5회 틀린경우가 많았습니다..

 

아무튼 이번일로 크게 한번 다시 돌아보게 되었습니다. 무엇보다 중국 미국에서 침입해오는 아이피가 90% 차지하는만큼 국가 밴을 때린다면 지금 당장에 개인 사설용으로는 크게 손색 없지 싶네요.

 

현재 ssh 포트변경하고 iptables+geoip 를 이용한 국가차단 방법을 찾아서 설치하려고 하고있습니다.



  • profile
    ExyKnox      아아 까까머리 까 까 까까머리- 2019.05.14 01:02
    저는 Fail2Ban 해놓고도 찜찜해서 그냥 포트퍼워딩 설정을 2222 -> 22 로 바꿔놓았더니 클-린해졌던 경험이 있네요.

    진짜.. 중국 쟤들은 뭐 하려고 보잘것없고 소소한 서버에 손을 막 대는지.. ㅋㅋㅋ
  • profile
    하이쿠      지루한 일상도 때론 즐겁게 2019.05.14 01:32
    확실히 포트만 바꿔도 크게 달라지긴 하는데, 거기서 작정하고 달려들면 이거도 무의미한게 아닌가 싶어요 ㄷㄷ...
  • profile
    Rufty 2019.05.14 01:14
    혹시 워드프레스 로그 보는 플러그인 뭐 쓰시나요?
  • profile
    하이쿠      지루한 일상도 때론 즐겁게 2019.05.14 01:31
    로그 보안 플러그인은 Sucuri Security 입니다.
    워드프레스 사용하신다면 Wordfence Security, WP Security Audit Log, Health Check & Troubleshooting 도 같이 설치하시면 도움되실겁니다.
  • profile
    Rufty 2019.05.14 01:34
    여러개 다중 설치해도 걱정할 필요 없이 더 강화가 되는군요 ㄷㄷ AWS 라이트세일이면 포트포워딩은 만져줄 필요 없이 fail2ban 설치 후 세팅해주면 충분할까요? 제가 이런 쪽은 문외한이라 ㅠㅠ
  • profile
    하이쿠      지루한 일상도 때론 즐겁게 2019.05.14 01:42
    음.. 저도 이쪽류에 그렇게 잘알진 못합니다만 포트포워딩은 사용하실 포트만 열어주셔서 사용하시면되고 아니면 모두 개방하시고 iptables로 똑같은효과 하실수 있습니다.
    fail2ban은 셋팅에따라 ssh 로그인 일정횟수 이상 틀리면 접근 제한할수 있어서 무작위 대입법 차단해서 어느정도 충분하다고 보실 수 있을거 같습니다.
  • profile
    Rufty 2019.05.14 01:59
    정말 감사합니다 :)
  • profile
    rnlcksk      감사합니다! 2019.05.14 02:00
    라이트세일은 root 로그인을 하지 않는다면 인증서 로그인만 사용하면 ssh는 안전합니다. root도 인증서 쓰는 방법도 있죠.
    이외에 워드프레스라던가 각기 서비스의 보안에 대해서 따져볼 필요가 있네요.
    라이트세일에선 포트포워딩 개념이 아니라 내부 서비스 config로 포트 변경 해주고 서비스가 사용하는 포트를 콘솔 방화벽에서 열어준다는 식으로 접근하는게 맞습니다.
    콘솔에서 방화벽을 제어하기 때문에 iptables는 모른다면 굳이 안해도 됩니다.
  • profile
    하이쿠      지루한 일상도 때론 즐겁게 2019.05.14 02:06
    라이트세일 자체 내에서 포워딩 쓸줄알았는데 그게 아니였던 모양이네요.
  • profile
    rnlcksk      감사합니다! 2019.05.14 02:10
    라이트세일의 네트워크 보안 타입은 웹 콘솔 방화벽 항목에서 개방할 포트를 지정하는 방식입니다.
    포워딩 기능은 없고 사용 포트 바꾸고싶다면 서버에 올라간 서비스 자체 config로 포트변경해서 써야죠 뭐.
    근데 라이트세일의 ssh 포트는 바꿨다가 꼬이면 서버 접근을 못하는 수가 있어서
    별로 권장하는 일은 아닙니다.
  • profile
    Rufty 2019.05.14 02:07
    제가 이쪽을 거의 몰라서 root 로그인을 해본 적이 없네요. 라이트세일에서 터미널 띄워서 쓰거나 cmd에 pem 파일로 로그인해서 터미널 띄우거나 하고, FileZilla 사용하는 정도가 다라서... root 아이디와 비밀번호도 모릅니다 흑흑

    fail2ban은 설정해두면 되겠죠? 워드프레스는 일단 플러그인은 유료 테마 구매하면서 번들로 제공되는 것만 쓰고 다른 건 최대한 검증된 거로만 쓰고 있어요.
  • profile
    rnlcksk      감사합니다! 2019.05.14 02:13
    네. 사실 패스워드 방식 막혀있으면 인증서 없인 로그인 시도도 못합니다.
    80이랑 443 정도 열려있으실듯 하니 포트 같은거보단 워드프레스 자체랑
    워드프레스의 근간인 웹서버랑 db 보안만 잘 되면 개인레벨에선 걱정할거 없습니다.
  • profile
    Rufty 2019.05.14 02:17
    그렇군요. 처음에 이것저것 뒤지면서 모르고 root 로그인 하려고 했다가 설정해본 적도 없는 ID, PW를 치라길래 뭐지? 했거든요. DB IP, PW는 복잡하게 해서 안전하게 보관해두고 쓸 때마다 볼 수 있도록 해놔서 괜찮을 것 같습니다. 플러그인을 잘 찾아보고 까는 게 중요하겠군요. 도움 정말 감사드립니다 ㅠㅠ
  • profile
    하이쿠      지루한 일상도 때론 즐겁게 2019.05.14 02:15
    어라 root를 안주는데도 있나보네요. 혹시모르니 /etc/ssh/sshd_config 에 PermitRootLogin 값을 no 로 설정해주시면 있는지 없는지도 모르는 root 로그인 차단됩니다.
    혹시 거기 저도 구경할 수 있을까요? 저도 꾸미고싶은데, 주변에 워드프레스 운영하시는분을 잘 본적이 없네요.
  • profile
    rnlcksk      감사합니다! 2019.05.14 02:18
    라이트세일에서는 centos 같은걸 깔아도 root 로그인은 기본적으로 차단되있습니다. 디폴트가 no에요.
  • profile
    Rufty 2019.05.14 02:19
    감사합니다, 어차피 쓰지도 않을 것 같아서 그냥 막아야겠네요.

    구경하고 싶으시다는 건 혹시 제 블로그를 말씀하시는 건가용?
  • profile
    하이쿠      지루한 일상도 때론 즐겁게 2019.05.14 02:21
    네. 블로그 구경하고싶어서요 ㅎㅎ.. 혹시나 불편하시다면 안주셔도됩니다.
  • profile
    Rufty 2019.05.14 02:25
    쪽지로 보내드렸습니다! 제가 공개적으로 노출하는 건 안 좋아해서 양해 부탁드릴께요.

    워드프레스가 좋긴 좋더라구요. 혹시 궁금하신 거 있으시면 알려주세요 :)
  • profile
    Koasing      PROBLEM? 2019.05.14 01:19
    교내에서 딥러닝 돌리는 서버군은 교내IP만 접속가능하도록 그냥 광역차단 걸어버립니다. ufw가 참 간편해요.
  • profile
    하이쿠      지루한 일상도 때론 즐겁게 2019.05.14 01:35
    예전에 XU4로 iptables 커널지원안될때 ufw 잠깐 썼었는데, 요즘은 iptables 로 하는 추세인거 같더라구요.
  • profile
    Koasing      PROBLEM? 2019.05.14 01:45
    ufw가 iptables의 프론트엔드입니다. iptables 설정이 복잡하니, 그냥 자주 쓰는 패턴[외부IP:PORT - 내부IP:PORT 연결을 허용/거부]을 쉽게 쓸 수 있도록 간략화한게 ufw입니다.
  • profile
    깍지 2019.05.14 02:01
    차이나 싫어요 ㅜ
  • profile
    하이쿠      지루한 일상도 때론 즐겁게 2019.05.14 02:07
    나쁜차이나!!
  • profile
    Retribute      안녕하세요. 행복한 하루 되세요. https://blog.naver.com/wsts5336     2019.05.14 08:30
    SSH 데몬의 포트를 직접적으로 변경하는 것도 좋으나

    공유기에서 포트포워드 해주는 것만으로도 특정 중요 포트로의 접근을 제한할 수 있으니 써먹으시면 좋을겁니다
  • profile
    세르넬리아 2019.05.14 09:56
    저도 좀 확인해봐야겠군요. SSL 적용상태긴한데 외부접속 가능한게 사용중인 서비스가 좀 갯수가 되는데 최근에 패킷스톰이 좀 들어오는것 같더라구요 ;ㅁ;

작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.


List of Articles
번호 분류 제목 글쓴이 날짜 조회 수
공지 이벤트 [발표] MSI 하니 여름 장패드 선정 결과 10 낄낄 2020.08.06 229
공지 이벤트 [10일] 3RSYS Socoool RC1000 쿨러를 드립니다 2 file 낄낄 2020.08.05 333
36700 방구차 차트게임 2 file 리피 2020.02.10 832
36699 볼거리 차카 선생의 숭고한 희생 드디어 이루워젔습니다. 31 file title: 야릇한poin_:D 2020.06.17 1000
36698 잡담 차일피일 미루다가 이제서야 아이디 이동을... 6 우워어어어어 2016.10.07 188
36697 볼거리 차인 여자 염장 지르는 만화 12 file title: 문과호무라 2019.02.03 1201
36696 잡담 차이슨 이야기.. 24 역률 2018.06.14 1174
36695 잡담 차이나 포스트인데 거의 한달째 안 오네요.. 16 file title: 문과호무라 2017.04.06 15539
36694 잡담 차에 돈 많이 들어가네요... 38 orz... 2019.07.13 581
36693 잡담 차에 관심이 좀 있었으면 좋겠어요. 12 mnchild 2020.02.15 433
36692 잡담 차없는 학생이라 카쉐어링을 자주합니다 45 Gorgeous 2019.12.25 756
36691 잡담 차알못 질문있습니다! 22 file 이유제 2016.12.04 1076
36690 볼거리 차안에서 고양이 소리가 들린다는 글을 보고 1 Lynen 2017.09.30 1240
36689 잡담 차슈 만드는중... 14 file title: 야행성가네샤 2019.04.27 428
36688 잡담 차세대 콘솔 관련 잡담 19 file 새벽안개냄새 2020.03.26 389
36687 볼거리 차세대 군견.gif 13 낄낄 2016.08.27 914
36686 잡담 차세대 게임들 그래픽은 생각보다 아쉽네요. 14 file NPU 2020.06.12 677
36685 잡담 차샀어요 21 file 우냥이 2017.05.23 502
36684 잡담 차사고 어떻게 대응할까요? 9 쿤달리니 2017.03.26 454
36683 잡담 차밑고양이 6 file 제한회원 2020.04.27 349
36682 볼거리 차림비와 음식값을 담합하는 식당들 15 file 고자되기 2019.01.23 836
36681 잡담 차를 현금으로 사는 경우가 1퍼센트도 안된다는군... 27 배신앙앙 2020.04.24 947
36680 잡담 차를 팔아야 하나.. 5 두리 2017.01.11 459
36679 잡담 차를 샀더니 유지비가... ㅠㅠ 37 int20h 2020.01.16 734
36678 잡담 차를 고민중입니다 14 Arisu 2016.12.17 590
36677 잡담 차를 가져왔습니다. 19 file 스파르타 2020.02.20 495
36676 볼거리 차량이 계단으로 다이빙을 했던, 그곳을 다시 찾... 2 file title: 이과dmsdudwjs4 2017.07.03 441
36675 볼거리 차량용 인포테인먼트 시스템 18 file 올드컴매니아 2018.11.21 781
36674 잡담 차량용 인버터 구입. 1 file 노코나 2019.04.17 435
36673 잡담 차량 출고했습니다. 15 file 노코나 2019.07.29 789
36672 잡담 차량 있으신분은 블헨 및 오토큐에서 내부 소독 ... 4 title: 야릇한poin_:D 2020.03.02 304
36671 잡담 차량 신고 이야기 - 하지말라면 하지마루요 35 file 깍지 2020.07.07 478
목록
Board Pagination Prev 1 ... 200 201 202 203 204 205 206 207 208 209 ... 1428 Next
/ 1428

최근 코멘트 30개
TundraMC
10:06
플라위
10:04
quadro_dcc
10:03
헥사곤윈
10:01
헥사곤윈
10:00
개가죽
09:58
dwscat20
09:58
tb
09:56
늘봄
09:48
레인보우슬라임
09:46
스파르타
09:41
레인보우슬라임
09:26
HP
09:17
프로리뷰어
09:04
냐아
08:53
아엠푸
08:50
방송
08:49
파인만
08:48
PLAYER001
08:40
PLAYER001
08:38
rnlcksk
08:22
poin_:D
08:05
나드리
08:02
폭시해적단
07:56
푸른바다왕거북이
07:55
푸른바다왕거북이
07:53
poin_:D
07:47
화니류
07:44
Loliconite
07:41
아즈텍
07:39

MSI 코리아
지원아이앤씨
쓰리알시스템

공지사항        사이트 약관        개인정보취급방침       신고와 건의


기글하드웨어는 2006년 6월 28일에 개설된 컴퓨터, 하드웨어, 모바일, 스마트폰, 게임, 소프트웨어, 디지털 카메라 관련 뉴스와 정보, 사용기를 공유하는 커뮤니티 사이트입니다.
개인 정보 보호, 개인 및 단체의 권리 침해, 사이트 운영, 관리, 제휴와 광고 관련 문의는 이메일로 보내주세요. 관리자 이메일

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소