저는 클라이언트 사이트에 배포하는 모든 우분투 서버에 적용할 보안 정책을 작성하는 임무를 맡았습니다. 일부 기업이 네트워크의 어떤 상자, 특히 은행에 어떤 리소스를 사용할 수 있는지에 대해 어떻게 제한하는지 알고 있습니다.
내가 잘 이해한다면, 거부 호스트 자체는 모든 "불량" IP를 보고하거나 가져오기 위해 데이터베이스(또는 데이터베이스)에 연결합니다.
첫 번째 질문은 해당 데이터베이스가 로컬인지 아니면 인터넷 호스트 어딘가에 저장되어 있는지입니다.
두 번째 질문은 첫 번째 질문과 관련이 있습니다. 해당 데이터베이스가 온라인인 경우 자체 해킹으로부터 얼마나 안전한지(공격자는 오히려 새 IP를 제거하여 데이터베이스를 조작할 수 있음)
누구든지 이것에 대해 밝힐 수 있다면 정말 감사하겠습니다.
답변1
DenyHosts는 기본적으로 /var/log/auth.log를 사용하여 로그인 시도를 모니터링합니다. IP가 차단되면 몇 개의 파일에 추가됩니다.
/etc/hosts.deny
/var/lib/denyhosts/hosts
/var/lib/denyhosts/hosts-root
/var/lib/denyhosts/hosts-valid
/var/lib/denyhosts/hosts-restricted
/var/lib/denyhosts/user-hosts
참고: 이러한 파일을 변경하려면(즉, 금지된 IP를 제거하기 위해) 먼저 서비스를 종료해야 합니다.
$ sudo service denyhosts stop