[Linux] 해외 IP 로그인 시도 및 블랙리스트 설정

최근 서버에 접속하니 다음과 같은 알림이 떴다.

찾아보니 내 서버 IP로 SSH 로그인 시도를 612번이나 한 것이라고 .. 한다.

 

보안 로그를 확인하기 위해 로그 파일로 접속했다.

vi /var/log/secure

로그에 기록된 IP를 조회해보니 독일에서 발생한 시도로 확인되었다...
따라서 해당 IP를 내 네트워크 환경에서 차단하는 작업을 진행했다.

 

방법 1. 외부망(공유기)에서 차단

간단하게 생각해서 공유기에서 IP를 차단하면 해당 IP의 트래픽이 완전 차단이 되기 때문에 내부 설정을 건드리지 않고 네트워크 레벨에서 해결할 수 있다. 

 

이렇게 등록하면 됨

 

방법 2. 방화벽 차단

서버 방화벽 설정을 수정하여 해당 IP의 접근을 막을 수 있다.

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="123.456.78.90" reject'
firewall-cmd --reload

차단 확인이 정상적으로 이루어졌는지 확인하기 위해 아래의 명령어를 입력

firewall-cmd --list-all

 

그럼 규칙이 적용된 것을 확인할 수 있다.
이후로 더이상의 접근은 없었다!