안녕하세요. 주식회사 서버몬 입니다.
공인 IP를 사용하는 Linux 서버를 운영하다 보면 SSH 포트(22)는 항상 무차별 대입 공격(Brute Force)의 대상이 됩니다.
실제 운영 중인 서버에서도 다음과 같은 로그를 지속적으로 확인할 수 있습니다.
Failed password for root from xxx.xxx.xxx.xxx
Failed password for admin from xxx.xxx.xxx.xxx
Failed password for ubuntu from xxx.xxx.xxx.xxx
대부분 자동화된 Bot에 의한 공격이며, 단순히 비밀번호를 강하게 설정하는 것만으로는 충분하지 않습니다.
이번 글에서는 Rocky Linux 9 환경에서 Docker 기반 CrowdSec을 구축하고 Firewall Bouncer를 연동하여 SSH 공격 IP를 자동 차단하는 방법을 정리해 보겠습니다.
CrowdSec이란?
CrowdSec은 오픈소스 기반의 침입 탐지 및 차단(IDS/IPS) 플랫폼입니다.
서버 로그를 실시간으로 분석하여 SSH Brute Force, 웹 공격, 스캐닝 행위 등 다양한 악성 활동을 탐지하고 대응할 수 있습니다.
기존에 많이 사용되는 Fail2ban과 유사한 역할을 수행하지만 단순 문자열 매칭 기반이 아닌 시나리오 기반 분석 엔진을 사용하여 보다 정교한 탐지가 가능합니다.
또한 CrowdSec 커뮤니티에서 공유되는 위협 인텔리전스(Threat Intelligence)를 활용하여 이미 악성으로 확인된 IP 정보를 활용할 수 있다는 점도 큰 장점입니다.
공인 IP를 사용하는 Linux 서버는 인터넷에 연결되는 순간부터 SSH 공격 대상이 됩니다.
SSH Key 인증을 사용하면 보안 수준을 높일 수 있지만, 공격 자체를 차단하는 것은 아닙니다.
CrowdSec은 이러한 SSH Brute Force 공격을 실시간으로 탐지하고, Firewall Bouncer를 통해 공격 IP를 자동 차단함으로써 서버의 보안 부담을 크게 줄여줍니다.
CrowdSec 주요 특징 및 구성도
CrowdSec 주요 특징
- 실시간 로그 분석 기반 공격 탐지
- SSH Brute Force 자동 탐지
- Firewall Bouncer를 통한 자동 차단
- Community Threat Intelligence 지원
- Docker 환경 지원
- Nginx, Apache, Traefik, MariaDB 등 다양한 서비스 연동 가능
- Fail2ban 대비 높은 확장성
구성도
Attacker
│
▼
SSH (22)
│
▼
CrowdSec
│
▼
Firewall Bouncer
│
▼
iptables / firewalld동작 순서는 다음과 같습니다.
SSH 로그 수집
↓
공격 패턴 분석
↓
Brute Force 탐지
↓
Decision 생성
↓
Firewall 차단
Fail2ban과 CrowdSec 차이
Linux 서버 보안에서 SSH Brute Force 방어는 기본적인 필수 요소입니다.
가장 많이 비교되는 솔루션 Fail2ban과 CrowdSec 입니다.
(두 도구의 목적은 같지만 구조와 동작 방식이 다릅니다.)
Fail2ban
로그 파일을 실시간으로 모니터링하고 특정 패턴을 기반으로 IP를 차단하는 방식
즉, 로컬 로그 기반 차단 시스템
CrowdSec
로그 분석 + 행동 기반 탐지 + 커뮤니티 위협 인텔리전스를 결합한 보안 플랫폼
CrowdSec은 단일 서버가 아니라 공격자 IP를 공유하는 네트워크 기반 보안 모델
요약
| 항목 | Fail2ban | CrowdSec |
| 탐지 방식 | 로그 패턴 (regex) | 행동 기반 분석 |
| 확장성 | 제한적 | 매우 높음 |
| 위협 인텔리전스 | 없음 | 커뮤니티 기반 있음 |
| 구조 | 단일 로컬 | 분리형 (Engine + Bouncer) |
| Docker 지원 | 제한적 | 매우 우수 |
| 설정 난이도 | 쉬움 | 중간 |
운영 관점 차이에 따라 적합한 플랫폼을 사용합니다.
CrowdSec Docker 구성
Docker의 내용을 작성한 게시글은 아래 링크를 통해 확인 가능합니다.
CrowdSec Docker 구성
작업 디렉토리 생성
mkdir -p ~/crowdsec
cd ~/crowdsec
docker-compose.yml 생성
services:
crowdsec:
image: crowdsecurity/crowdsec:latest
container_name: crowdsec
network_mode: host
volumes:
- /var/log:/var/log:ro
- ./data:/var/lib/crowdsec/data
- ./config:/etc/crowdsec
restart: unless-stopped
volumes:
crowdsec-db:
crowdsec-config:
docker compose 실행
docker compose up -d
SSH 로그 수집 확인
docker exec -it crowdsec cscli metrics
SSH 탐지 모듈 설치 및 확인
docker exec -it crowdsec \
cscli collections install crowdsecurity/sshd
#탐지 모듈 설치
docker exec -it crowdsec cscli collections list
#설치 확인
Firewall Bouncer 설치 및 등록
Repository 추가
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.rpm.sh | sudo bash
Bouncer 설치
sudo dnf install -y crowdsec-firewall-bouncer-iptables
Bouncer 실행 및 확인
sudo systemctl enable --now crowdsec-firewall-bouncer
sudo systemctl status crowdsec-firewall-bouncer
Bouncer 등록
API Key 생성 및 복사
docker exec -it crowdsec cscli bouncers add firewall-bouncer
설정 파일 수정
sudo vim /etc/crowdsec/bouncers/crowdsec-firewall-bouncer.yaml
#api_key에 복사해놓은 key로 수정
bouncer 연결 상태 확인
docker exec -it crowdsec cscli bouncers list
탐지 및 차단 확인
CrowdSec 실행 이후 secure log 확인
docker exec -it crowdsec cscli metrics
임의 IP 직접 차단 등록 테스트
docker exec -it crowdsec cscli decisions add \
--ip 1.2.3.4 \
--type ban \
--duration 10m
차단 리스트 조회
docker exec -it crowdsec cscli alerts list
docker exec -it crowdsec cscli decisions list
(차단된 리스트)
CrowdSec은 단순한 로그 분석 도구가 아니라 탐지 + 대응 자동화 시스템 입니다.
핵심 구조
CrowdSec = 탐지
Firewall Bouncer = 차단
이 구성을 통해 SSH Brute Force 공격을 실시간으로 자동 방어 할 수 있습니다.
1U서버 / 2U서버 / AI서버 / alyac / APC / APC UPS / backup / carepack / centos / chakramax / cuda / DAS / DB / DB서버 / defog / DEFOG랙 / dell5820 / dell5820t / dell7920 / dellpoweredge / dellr240 / dellr340 / dellr350 / dellr450 / dellr540 / dellr630 / dellr640 / dellr740 / dellr750 / dellserver / dellt40 / dellt440 / dellt5820 / dell서버 / DELL서버CPU / DELL서버RAID컨트롤러 / DELL서버SAS하드디스크 / DELL서버가격비교 / DELL서버가격비교견적 / DELL서버견적 / DELL서버구매 / DELL서버디스크교체 / DELL서버메모리 / dell서버서버몬 / DELL서버펌웨어 / DELL서버하드디스크구매 / dell옵션 / dell워크스테이션 / dl20 / dl20gen10 / dl20gen11 / dl360 / dl360gen10 / dl360gen11 / dl380 / dl380g10 / dl380gen10 / dl380gen11 / ECC메모리 / EDFOG랙가격 / embedded / est security / ESTSOFT / FIRMWARE / GPU / gpu서버 / gpu타워형서버 / greenlake / HA솔루션 / HP GPU / hp hdd / hpdl20 / HPDL20Gen10 / hpdl360 / hpdl360gen10 / hpdl380 / hpdl380g10 / HPDL380Gen10 / HPE / HPE GPU / hpe hdd / hpe rok / HPE Service Pack for Proliant / HPE SPP / hpe ssa / hpedl20 / hpedl20gen10 / hpedl360gen10 / hpe서버 / HPE서버CPU / HPE서버RAID컨트롤러 / HPE서버SAS하드디스크 / HPE서버가격비교 / HPE서버가격비교견적 / HPE서버견적 / HPE서버구매 / HPE서버드라이버설치 / HPE서버디스크교체 / HPE서버메모리 / HPE서버비용 / hpe서버소음 / HPE서버펌웨어 / HPE서버하드디스크구매 / hpe옵션 / hpe정품 / hpgen10 / hpml30 / hpserver / hpz2 / hpz4 / hpz4g4 / hpz6g4 / hpz8g4 / hp마이크로서버 / hp서버 / hp서버cto / hp서버pc / HP서버메모리 / hp서버소음 / hp서버컴퓨터 / HP서버파워 / HP서버펌웨어 / HP서버하드디스크 / hp옵션 / hp워크스테이션 / hp정품 / hp프로라이언트 / HYPER BACKUP / ibm서버 / ilo / Intelligent Provisioning / internetdisk / KVM / KVM 기술지원비(비용) / KVM 설치비 / L2스위치 / L3스위치 / LENONO서버SAS하드디스크 / lenovop620 / lenovor650 / LENOVO서버 / LENOVO서버CPU / LENOVO서버RAID컨트롤러 / LENOVO서버가격비교 / LENOVO서버가격비교견적 / LENOVO서버견적 / LENOVO서버구매 / LENOVO서버디스크교체 / LENOVO서버메모리 / LENOVO서버하드디스크구매 / LENOVO펌웨어업데이트 / Linux / ML30 / ml30gen10 / ml30gen11 / ML350GEN10 / ml350gen11 / ML360 / MS CSP / MSSQL / MSSQL 기술지원비(비용) / MSSQL 설치비 / MYSQL / MySQL 기술지원비(비용) / MySQL 설치비 / NAS / NVIDIA / Office 365 / oneview / orange / OS설치 / PA-410 / PA-440 / paloalto / poweredger740 / poweredger750 / precision5820 / QUADRO / r240 / r250 / r340 / r360 / r440 / r550 / r650 / r660 / r740 / r750xs / r760 / r760xs / RAID / redhat / RHEL설치 / RMS랙 / rocky / s100i / securedisk / server / serverpc / smart storage administrator / SPP / sql server / sr250 / sr650 / SYNOLOGY / SYNOLOGY나스 / t150 / t360 / UPS / UPS기술지원 / UPS납품 / UPS설치 / V3 / veeam / vroc / windows server / Windows서버설치 / XEON서버 / z8g4 / 가상서버 / 가성비서버 / 기술지원비(비용) / 나스기술지원 / 나스설치지원 / 네트워크스위치 / 네트워크장비 / 더블테이크 / 데이터베이스 / 델5820 / 델서버 / 델서버비용 / 델서버펌웨어업데이트 / 델옵션 / 델워크스테이션 / 델컴퓨터워크스테이션 / 디포그 / 디포그랙 / 디포그랙가격 / 딥러닝 / 딥러닝pc / 딥러닝서버 / 랙 / 랙(RACK) 기술지원비(비용) / 랙(RACK) 설치비 / 랙납품설치 / 랙설치 / 레노버p620 / 레노버서버 / 레노버워크스테이션 / 레노보서버 / 레노보서버펌웨어 / 레드헷설치 / 레이드 / 레이드구성 / 록키리눅스 / 리눅스 / 리눅스 기술지원비(비용) / 리눅스 설치비 / 리눅스서버 / 리눅스서버설치 / 리눅스서버트러블슈팅 / 리눅스트러블슈팅 / 문서보안 / 문서중앙화 / 미니서버 / 미니서버랙 / 미니서버렉 / 미디어서버 / 방화벽 / 방화벽 기술지원비(비용) / 방화벽 설치비 / 방화벽엔지니어 / 백업 / 백업 기술지원비(비용) / 백업 서버 / 백업서비스 / 백업솔루션 / 보안솔루션 / 보안솔루션구매 / 보안솔루션설치 / 보안툴 / 빔백업 / 샤크라맥스 / 서버 / 서버 기술지원비(비용) / 서 버 랙마운트비용 / 서버 설치비 / 서버 장애조치비용 / 서버CPU / 서버MEMORY / 서버OS설치 / 서버pc / 서버가격 / 서버가속기 / 서버견적 / 서버교체 / 서버구매 / 서버구입 / 서버구축 / 서버기술지원 / 서버납품 / 서버디스크장애처리 / 서버랙 / 서버렉 / 서버렉마운트 / 서버메모리 / 서버 몬 / 서버몬기술지원 / 서버백업 / 서버보안 / 서버부품 / 서버엔지니어 / 서버옵션 / 서버용GPU / 서버용PC / 서버용그래픽카드 / 서버용메모리 / 서버 / 컴퓨터 / 서버용하드디스크 / 서버재고 / 서버컴 / 서버컴퓨터 / 서버트러블슈팅 / 서버판매 / 서버하드 / 서버호스팅 / 스위치 / 스위치 기술지원비(비용) / 스위치 설치비 / 스토리지 / 스토리지 기술지원비(비용) / 스토리지 랙마운트비용 / 스토리지 설치비 / 스토리지 장애조치비용 / 스토리지납품설치 / 스토리지서버 / 시놀로지DS918 / 시놀로지HyperBackup / 시놀로지나스 / 시놀로지나스백업 / 시놀로지하이퍼백업 / 시큐어디스크 / 안랩 / 알약 / 앱서버 / 오피스 365 / 우분투설치 / 워크스테이션 / 워크스테이션pc / 워크스테이션컴퓨터 / 윈도우서버 / 윈도우서버2016 / 윈도우서버2019 / 윈도우서버2022 / 윈도우서버설치 / 윈도우서버컴퓨터 / 윈도우서버트러블슈팅 / 윈도우즈 기술지원비(비용) / 윈도우즈 설치비 / 이스트소프트 / 이스트 시큐리티 / 이중화솔루션 / 이중화솔루션구매 / 이중화솔루션설치 / 인터넷디스크 / 임베디드 / 저가서버 / 저렴한서버 / 정품서버 / 정품서버옵션 / 제온서버 / 젠서버 / 중고서버 / 중고워크스테이션 / 카보나이트 / 카스퍼스키 / 컴퓨터서버 / 케어팩 / 타워서버 / 타워형서버 / 팔로알토 / 페도라설치 / 프로라이언트
'설치 및 기술 자료 > Linux' 카테고리의 다른 글
| Fail2ban과 커스텀 스크립트로 구현하는 경량 고성능 GeoIP 차단 시스템 (0) | 2026.06.09 |
|---|---|
| [Linux] Proxmox VE 완벽 가이드 (0) | 2026.06.07 |
| [Linux] Oracle Linux(오라클 리눅스) 최신버전(10.1) 설치 방법 (0) | 2026.05.25 |
| [Linux] pgloader 로 끝내는 데이터 마이그레이션 (0) | 2026.05.17 |
| [Linux] Ubuntu 24.04 (우분투) LVM을 이용한 디렉터리 용량 확장 (0) | 2026.04.30 |
댓글