[정보] Fail2ban을 사용하여 리눅스 보안 향상시키기

리눅스 서버를 사용하다 보면 SSH 접속을 무척이나 자주 하게 된다. 그렇기 때문에 비밀번호를 사용하는 경우 길지 않고 쉬운 비밀번호를 사용하는 경우가 많다. 이런 경우 서버가 무작위 대입 공격(brute force attack)에 취약해지게 된다. 짧고 쉬운 비밀번호는 무작위로 대입해서 알아내기 쉽기 때문이다. 이러한 경우 Fail2ban을 사용하면 효과적으로 대응할 수 있다. Fail2ban은 사용자가 서버에 접속할 때 특정 횟수 이상으로 비밀번호를 틀리는 경우 해당 사용자의 IP를 차단하는 소프트웨어 프레임워크로 SSH 서버의 보안을 향상시킬 수 있다. 아래에서 Fail2ban의 사용법과 특징을 더욱 자세히 소개할 것이다.

Fail2ban이란

Fail2ban은 로그 파일(주로 ssh 로그)을 분석하여 비밀번호를 많이 틀리는 사용자의 IP를 차단시키는 소프트웨어 프레임워크이다. 비밀번호를 많이 틀리는 사용자를 차단하기 때문에 무작위 대입 공격을 수행하는 해커들이 서버의 비밀번호를 알아내기 힘들어진다. 패스워드를 사용하여 SSH접근을 수행하는 리눅스 서버에는 매우 유용하다고 할 수 있다.

Fail2ban 설치

Fail2ban은 대부분의 linux distribution의 package manager에서 기본으로 제공한다. 그러므로 아래와 같이 기본 패키지 매니저를 사용해서 설치하도록 하자.

# Ubuntu, Raspbian
$ sudo apt-get install fail2ban

# CentOS
$ sudo yum install fail2ban fail2ban-systemd

Fail2ban 상태 확인

Fail2ban을 최초로 설치하면 기본으로 SSH 접속에 대한 보안 기능을 수행한다. 아래와 같은 명령어를 사용하면 Fail2ban이 차단한 IP갯수와 목록을 확인할 수 있다.

$ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	24
|  |- Total failed:	809351
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	58
   |- Total banned:	7597
   `- Banned IP list:	118.24.100.198 122.51.191.69 122.51.175.20 165.227.140.41 ...

Fail2ban에서 차단된 IP 차단 해제하기

본인이 실수로 비밀번호를 특정 횟수 이상으로 틀려 Fail2ban에서 차단된 경우 아래의 명령어를 사용하면 차단을 해제할 수 있다.

$ sudo fail2ban-client set sshd unbanip <IP 주소>