Установка и настройка sshguard pf FreeBSD 8.2

 
Для тех, кому надоели бесконечные попытки подборки паролей и логинов по ssh, существует прекрасная программа sshguard, которая может работать в связке с разными пакетными фильтрами (sshguard-ipfilter sshguard-ipfw sshguard-pf), в моём случае с PF.
Для начала необходимо установить и настроить PF, если PF установлен, делаем следующее.
Установим из портов sshgurd-pf:
cd /usr/ports/security/sshguard-pf
make install clean
Далее в /etc/syslog.conf добавляем строку, которая реализует добавление забаненных адресов в файл /etc/sshguard-black, а также разрешает бесконечное число попыток подключения с адресов в файле /etc/sshguard-white
 

auth.info;authpriv.info     |exec /usr/local/sbin/sshguard -a 3  -b 10:/etc/sshguard-black -w /etc/sshguard-white

Перезагружаем syslogd

/etc/rc.d/syslogd restart

Stopping syslogd.

Starting syslogd.

Добавим правила в /etc/pf.conf

#SSHGUARD

table <sshguard> persist

block in quick on $ext_if proto tcp from <sshguard> to any port 22 label "ssh bruteforce"

Подгрузим правила в PF на лету коммандой:

pfctl -f /etc/pf.conf 

Создадим файл sshgurd-white и поместим в него адреса, которые не будут фильтроваться, например домашнюю сеть целиком.

cat /etc/sshguard-white

192.168.0.0/28

С минимальными настройками закончено, если всё правильно сделано, то в логах мы скоро увидим примерно следующее:

Благородный shhguard, создал за нас файл sshguard-black, немного упрекнув нас в этом))) После чего показал количество попыток атак с адресов, на основаниии чего забанил адреса в файле, до лучших времен. 

# cat /var/log/messages | grep sshguard

Oct 12 16:24:27 host sshguard[1424]: Blacklist file '/etc/sshguard-black' doesn't exist, I'll create it for you.

Oct 12 16:24:27 host sshguard[1424]: Started successfully [(a,p,s)=(3, 420, 1200)], now ready to scan.

Oct 12 16:38:25 host sshguard[1427]: Started successfully [(a,p,s)=(3, 420, 1200)], now ready to scan.

Oct 12 20:58:07 host sshguard[1427]: Offender '60.191.123.108:4' scored 10 danger in 1 abuses (threshold 10) -> blacklisted.

Oct 12 20:58:07 host sshguard[1427]: Blocking 60.191.123.108:4 for >0secs: 10 danger in 1 attacks over 0 seconds (all: 10d in 1 abuses over 0s).

Oct 13 00:00:01 host sshguard[1427]: Got exit signal, flushing blocked addresses and exiting...

Oct 13 00:00:01 host sshguard[3492]: Started successfully [(a,p,s)=(3, 420, 1200)], now ready to scan.

Oct 13 03:24:47 host sshguard[3492]: Offender '221.233.196.109:4' scored 10 danger in 1 abuses (threshold 10) -> blacklisted.

Oct 13 03:24:47 host sshguard[3492]: Blocking 221.233.196.109:4 for >0secs: 10 danger in 1 attacks over 0 seconds (all: 10d in 1 abuses over 0s).

Более детальную и полную информацию можно найти на сайте проекта: http://www.sshguard.net/