피드로 돌아가기
Protecting Your macOS: How to Find Exactly Which IPs Are Trying to Attack Your System (And Stop Them)
Dev.toDev.to
Security

Unified Logging System과 pf Firewall을 통한 macOS 침입 IP 탐지 및 차단 구조

Protecting Your macOS: How to Find Exactly Which IPs Are Trying to Attack Your System (And Stop Them)

Bhupesh Chandra Joshi2026년 4월 20일8intermediate

AI 요약

Context

분산된 로그 파일로 인한 보안 이벤트 추적의 어려움과 Brute-force SSH 공격 등 외부 위협에 노출된 macOS 환경 분석. 기존의 단순 로그 확인 방식은 실시간 대응과 정밀한 공격자 식별에 한계가 있음.

Technical Solution

  • Unified Logging System의 중앙 집중식 저장소 구조를 활용한 네트워크 이벤트 및 인증 시도 통합 모니터링
  • Advanced Predicates 기반의 쿼리 설계를 통한 'Failed to authenticate user' 등 특정 보안 이벤트의 고속 필터링
  • /var/log/secure.log/private/var/log/asl/ 내의 구조화된 데이터 분석을 통한 공격 IP 주소 추출
  • pf(Packet Filter) Firewall Rule 설정을 통한 식별된 악성 IP의 네트워크 계층 차단
  • /etc/hosts 파일 수정을 통한 DNS Spoofing 방지 및 Malicious Domain으로의 트래픽 리다이렉션 제어
  • Application Layer Firewall의 Stealth Mode 활성화로 외부 스캐닝에 대한 시스템 가시성 제거

실천 포인트

1. `log show` 명령어의 Predicate 옵션을 사용하여 SSH 인증 실패 로그의 패턴 분석

2. pf Firewall 규칙에 추출된 공격 IP를 추가하여 네트워크 접근 제어

3. `/etc/hosts` 및 `/private/etc/security/` 폴더의 무단 변경 여부 정기 모니터링

4. 시스템 방화벽의 Stealth Mode 활성화 상태 확인

태그

#DNS Spoofing#Unified Logging System#pf Firewall#Brute Force#SSH Security
원문 읽기