리눅스 서버에서 Fail2Ban으로 무차별 대입 공격 방어하기
Fail2Ban은 서버 로그 파일을 감시하여 비정상적인 접근 시도(예: SSH 비밀번호 무차별 대입)를 감지하고, 해당 IP를 방화벽에서 자동으로 차단하는 매우 유용한 보안 도구입니다.
1. Fail2Ban 설치
RHEL/CentOS/RockyLinux 계열
bash
sudo dnf install epel-release -y
sudo dnf install fail2ban -y
Ubuntu/Debian 계열
bash
sudo apt-get update
sudo apt-get install fail2ban -y
2. 설정 파일 생성
기본 설정 파일(jail.conf)을 직접 수정하는 대신, 로컬 설정 파일(jail.local)을 만들어 관리하는 것이 좋습니다.
bash
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
3. SSH 보호 설정
jail.local 파일을 열어 SSH 보호 설정을 활성화하고 세부 사항을 조정합니다.
bash
sudo vi /etc/fail2ban/jail.local
[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
bantime = 10m # 10분 동안 차단
findtime = 10m # 10분 동안
maxretry = 5 # 5번 시도하면 차단
4. 서비스 시작 및 상태 확인
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
# 차단된 IP 목록 확인
sudo fail2ban-client status sshd
Fail2Ban을 사용하면 서버에 대한 자동화된 공격을 효과적으로 방어하여 보안을 크게 강화할 수 있습니다.
댓글남기기