Установка и настройка sshguard pf FreeBSD 8.2
Для тех, кому надоели бесконечные попытки подборки паролей и логинов по ssh, существует прекрасная программа sshguard, которая может работать в связке с разными пакетными фильтрами (sshguard-ipfilter sshguard-ipfw sshguard-pf), в моём случае с PF.
Для начала необходимо установить и настроить PF, если PF установлен, делаем следующее.
Установим из портов sshgurd-pf:
cd /usr/ports/security/sshguard-pf
make install clean
Далее в /etc/syslog.conf добавляем строку, которая реализует добавление забаненных адресов в файл /etc/sshguard-black, а также разрешает бесконечное число попыток подключения с адресов в файле /etc/sshguard-white
auth.info;authpriv.info |exec /usr/local/sbin/sshguard -a 3 -b 10:/etc/sshguard-black -w /etc/sshguard-white
Перезагружаем syslogd
/etc/rc.d/syslogd restart
Stopping syslogd.
Starting syslogd.
Добавим правила в /etc/pf.conf
#SSHGUARD
table <sshguard> persist
block in quick on $ext_if proto tcp from <sshguard> to any port 22 label "ssh bruteforce"
Подгрузим правила в PF на лету коммандой:
pfctl -f /etc/pf.conf
Создадим файл sshgurd-white и поместим в него адреса, которые не будут фильтроваться, например домашнюю сеть целиком.
cat /etc/sshguard-white
192.168.0.0/28
С минимальными настройками закончено, если всё правильно сделано, то в логах мы скоро увидим примерно следующее:
Благородный shhguard, создал за нас файл sshguard-black, немного упрекнув нас в этом))) После чего показал количество попыток атак с адресов, на основаниии чего забанил адреса в файле, до лучших времен.
# cat /var/log/messages | grep sshguard
Oct 12 16:24:27 host sshguard[1424]: Blacklist file '/etc/sshguard-black' doesn't exist, I'll create it for you.
Oct 12 16:24:27 host sshguard[1424]: Started successfully [(a,p,s)=(3, 420, 1200)], now ready to scan.
Oct 12 16:38:25 host sshguard[1427]: Started successfully [(a,p,s)=(3, 420, 1200)], now ready to scan.
Oct 12 20:58:07 host sshguard[1427]: Offender '60.191.123.108:4' scored 10 danger in 1 abuses (threshold 10) -> blacklisted.
Oct 12 20:58:07 host sshguard[1427]: Blocking 60.191.123.108:4 for >0secs: 10 danger in 1 attacks over 0 seconds (all: 10d in 1 abuses over 0s).
Oct 13 00:00:01 host sshguard[1427]: Got exit signal, flushing blocked addresses and exiting...
Oct 13 00:00:01 host sshguard[3492]: Started successfully [(a,p,s)=(3, 420, 1200)], now ready to scan.
Oct 13 03:24:47 host sshguard[3492]: Offender '221.233.196.109:4' scored 10 danger in 1 abuses (threshold 10) -> blacklisted.
Oct 13 03:24:47 host sshguard[3492]: Blocking 221.233.196.109:4 for >0secs: 10 danger in 1 attacks over 0 seconds (all: 10d in 1 abuses over 0s).
Более детальную и полную информацию можно найти на сайте проекта: http://www.sshguard.net/
Добавить комментарий