fail2ban 으로 SSH 서버 보안 강화 가이드

Source

• Evernote/Inbox/fail2ban 으로 SSH 서버 강화하기.md

Summary

이 문서는 공용 네트워크에 노출된 SSH 서버의 무작위 로그인 시도(브루트 포스)를 방어하기 위해 fail2ban 을 설치 및 설정하는 방법을 설명합니다. CentOS(RHEL) 와 Ubuntu 환경에서의 설치 방법, jail.local 을 통한 커스터마이징 (ignoreip, bantime, findtime, maxretry), 메일 알림 설정 (action_mwl), 그리고 sshd jail 활성화와 포트 설정을 다룹니다. 설정 후 firewall-cmd 와 ipset, fail2ban-client 명령어를 통해 차단 규칙과 상태를 확인하는 방법도 포함합니다.

Key Points

• fail2ban 은 SSH 로그인 실패 시 해당 IP 를 커널 방화벽 (ipset) 에 등록하여 차단하는 도구입니다.
• 설치: CentOS 는 EPEL 저장소 추가 후 yum 설치, Ubuntu 는 apt install 로 설치합니다.
• 설정 파일: 기본 설정은 jail.conf 이나, 수정은 jail.local 에서 수행해야 합니다.
• 핵심 파라미터: ignoreip(차단 제외 IP), bantime(차단 시간), findtime(모니터링 시간), maxretry(허용 실패 횟수) 를 적절히 설정합니다.
• 알림 설정: action 을 %(action_mwl)s 로 설정하면 차단 시 whois 정보와 로그를 첨부한 메일을 발송합니다.
• sshd 적용: [sshd] 섹션에서 enabled=true 로 설정하고, 사용 중인 SSH 포트 (기본 22 또는 변경 포트) 를 명시합니다.
• 검증: firewall-cmd —direct —get-all-rules 로 방화벽 규칙, ipset —list 로 차단 IP 목록, fail2ban-client status sshd 로 상태를 확인합니다.

Related

• 무선랜(Wi-Fi) 보안 설정 가이드

• 네트워크 문제 진단 명령어 가이드 (Linux, ESXi, Windows)

• 로컬 Git 저장소 Fork 및 Clone 설정

• 나쁜 인증 시도 방어하기 (1 편)

• HTTP 기반 애플리케이션 방화벽 정책 분석

• Ubuntu 커널 컴파일 가이드 (2013)

• STUN (Session Traversal Utilities for NAT)

• 터미널 사용자를 위한 유용한 프로그램들

• IoT 환경 리눅스 OS 대상 웜 ‘리눅스 달로즈’ 분석

• Redis 설치 및 실행 가이드 (2012)

• 몬스터 헌터 4G 에딧퀘스트 다운로드 가이드

• Linux 메모리 오버커밋(OOM Killer) 및 DB 서버 설정 가이드

• ipvsadm)

• Twitter DM을 통한 Linux 서버 원격 제어 (MYST)

• 라즈베리 파이 4 네트워크 부팅 (PXE) 설정 가이드

• 리눅스 서버 60초 상황파악 가이드 (Netflix USE Method 기반)

• 컴퓨터 하드웨어 고장 부품 식별 가이드

• BIND DNS 서버 구축 및 빌드 환경 설정 (2018)

• k3s를 이용한 간단한 Kubernetes 환경 구축 가이드

• Linux 시스템 모니터링 도구 30가지 (nixCraft)

• AWS CloudWatch Metrics 및 알람 설정 가이드 (DevOps Day 1)

• Linux Kernel 3.9: Chromebook 지원 강화

• Linux 커널 코딩 스타일 가이드 요약

• Busybox 기반 ARM Linux 커널 빌드 및 QEMU 실행 가이드

• Eclipse 서버 호스트 및 커스텀 도메인 설정

• Linux 의 예기치 않은 종료와 파일 시스템 손상

• 아치리눅스 및 타일링 윈도우 매니저(i3wm) 사용 이유와 설정 가이드

• BTRFS: The Linux B-Tree Filesystem

• Hiren’s BootCD: 가장 인기 있는 시스템 복구 디스크

• BabyAGI 4 ALL API 설치 및 사용 가이드

• Linux 의 새 비밀번호 유사도 검사 원리

• Linux Kernel 3.10 주요 기능 요약

• 구형 PC 부활을 위한 3가지 경량 Linux 배포판

• 닭 알 부화 가이드: 인큐베이터 사용법

• Linux vs Windows: Linux 의 고유 강점 (Quora)

• 부팅이 안 되는 컴퓨터에서 파일 복구하기

• Microsoft PowerShell Quick Reference Guides

• 하드 드라이브 온도 감지 원리

• Windows 8 Release Preview ISO 정보

• 3DS 커스텀 펌웨어 가이드 (arm9loaderhax)

• MQTT Packet 모니터링

• Redis Windows 설치 및 서비스 등록 가이드

• Android StrictMode 활용 가이드

• 실외 이더넷 케이블 안전 설치 가이드

• 안드로이드 커널 컴파일 가이드 (2012)

• 와이어 가이드 (Wire Guide)

• Hadoop 싱글 노드 설정 가이드 (동영상)

• DB)

• 파이썬 urllib를 이용한 웹 소스 출력 스크립트

• Godot 엔진을 활용한 Spine(SD) 애니메이션 사용 가이드 (2019)

• NSDictionary 의 Fast Enumeration

• Kindle Paperwhite 탈옥 (Jailbreak) 가이드

• Google Apps for Business (구글 앱스) 무료 개인 도메인 이메일 설정 가이드 (2013 년 기준)

• MH4U 에딧퀘스트(개조 퀘스트) 제작 가이드

• MINT64 OS 개발 환경 설정 (Cygwin 기준, 2014)

• 호스트웨이 클라우드 서버를 통한 워드프레스 자동 설치 가이드

• 구형 PC를 FreeNAS 홈 파일 서버로 구축하기

• Android SDK 설치 가이드 (Windows, Mac, Linux)

• 사인 가이드 (2012 년 기준)

• CoffeeScript 환경 설정 및 개요

• KAISER) 패치 배경 및 개요

• MIPS 크로스 컴파일러 빌드 방법

• MineAssemble: Minecraft 클론의 어셈블리 포트 프로젝트

• macOS에서 Java 버전 변경 방법 (jvc.jar)

• VirtualBox 에 Android-x86 설치하기

• QEMU(ARM)에 Android 포팅하기 - 1. 준비

• 소녀전선 샷망소대 심화 가이드

• 소녀전선: 초중반 스테이지 레벨링 가이드 (2-3 ~ 5-4e)

• RMPrepUSB: USB 드라이브를 다중 부팅 디스크로 변환

• Godot 엔진을 활용한 Spine(SD) 애니메이션 실행 가이드

• 대규모 병렬 처리 시대의 12자 무작위 비밀번호

• 안드로이드 넥서스 S 루팅 가이드 (Apollo89.com)

• 윈도우10 비밀번호 분실 시 해제 방법 (네이버 블로그)

• N O D E: 휴대용 리눅스 터미널 제작 가이드

• Chocolatey: Windows 패키지 관리자 소개

• 2015 년 최악의 비밀번호 목록 및 보안 권고사항

• Chromecast 의 설계상 보안 한계