브루트포스 공격 (Brute-force attack) (SSH 로그인 공격)

브루트포스 공격 (Brute-force attack) 

SSH 로그인 공격이라고도 하는데,

암호나 사용자 계정을 자동화된 도구로 무작위로 시도하여 로그인에 성공하려는 공격 방식이다.

 

로그인에 실패하더라도 서버에는 부하가 갈 수 있다.

실제로, 회사 개발서버가 브루트포스 공격으로 인해 서버가 재부팅되는 상황이 있었다.

 

관련하여 로그를 찾아보니,

불특정 IP로 SSH 로그인하려는 시도가 있었다.

 

그런데, 도중 서버가 재부팅이 되었다는 로그가 남아 있었다.

 

이런 경우 해결 방안은 여러 가지가 있다.

1. 비밀번호 인증 비활성화 → 키 인증
2. 루트 로그인 차단
3. SSH 포트 변경
4. fail2ban 등의 자동 차단 도구
5. IP 화이트리스트, VPN 등 접근 제어

결과적으로, SSH 포트를 변경하여 문제를 해결하였다.

 

비밀번호 인증 비활성화

키 인증 방식이 제일 좋을 것 같았지만, 임시로 사용할 서버라는 점과 키를 공유하는게 부담이 되는 상황이라는 점 때문에 사용하지 않았다.

 

루트 로그인 차단

보통 잘 알려진 계정으로 공격을 시도한다. 잘 알려진 계정으로는 root, oracle, mysql 등이 있다.

루트 계정을 사용하고 있던터라, 루트 계정을 비활성화하는 부분은 선택하지 않았다.

 

fail2ban 등의 자동 차단 도구

처음에 자동 차단 도구를 사용하여, 해결하려고 했었다.

그런데, 로그를 보다보니 불특정 IP로 공격을 하는것을 발견하였고, 그런 경우 자동 차단 도구의 효용성이 없기 때문에 선택하지 않았다.

*자동 차단 도구에 따라 다르겠지만, 동일 IP 로 짧은 시간 여러 번 접속 시도했을 때 접근을 제한하는 방법이 대표적인 방법이다.

그렇기 때문에 접근할 때마다 IP가 달라진다면 자동 차단 도구의 효용성이 없어진다.

 

IP 화이트리스트, VPN 등 접근 제어

집에서 재택할수도 있는 상황이 있기 때문에, IP 화이트리스트는 사용하지 않았다.

VPN은 설정을 공유하는게 부담이 되는 상황이라 사용하지 않았다.