Главная   Новости   Описание   Вопросы-Ответы   Полезные статьи   Контакты

Защита SSH c помощью sshguard


Статьи / Системное администрирование

Программа sshguard с плагином для штатного фаервола FreeBSD, IPFW, позволяет блокировать пользователей, неоднократно неправильно вводивших пароль.

Итак установка из портов:

freebsd8 /# cd /usr/ports/security/sshguard-ipfw
freebsd8 /usr/ports/security/sshguard-ipfw# make install clean

Как видим, все очень просто, ставится sshguard без каких либо дополнительных параметров.

Принцип работы программы программы следующий: sshguard парсит лог файл регистраций в системе, если обнаруживает аномальное количество неудачных подключений с определенного IP, помечает адрес как нарушителя и добавляет в IPFW блокирующее правило на определенный промежуток времени, по умолчанию, время блокировки, 7 минут. Если в дальнейшем, данный IP вновь обратит на себя внимание sshguard своим неадекватным поведением, снова будет создано блокирующее правило в IPFW, но срок будет 2*7. Схема расчета времени блокировки следующая: 7 минут, 2*7 минут, 2*2*7 минут ..... 2^(n-1)*7 минут. В дальнейшем, после определенного количества рецидивов, указанного в опции -b, IP может будет помещен с черный список на постоянной основе.

Настройка sshguard, так-же проста как и установка. Для использования sshguard, будем использовать syslog, соответственно в конфиг данного демона ( /etc/syslog.conf ), пропишем следующую строку:
auth.info;authpriv.info |exec /usr/local/sbin/sshguard -a 3 -b 10:/var/db/sshguard/blacklist -w /var/db/sshguard/whitelist

после чего нужно перезапустить демон syslogd.
freebsd8 /# /etc/rc.d/syslogd restart

Если быть точным, sshguard сама пропишет необходимый минимум в этот файл, нужно только раскомментировать строку и поправить под свои нужды. Итак, основные опции
-a
Количество неудачных попыток ввода пароля, после которых адрес блокируется, в нашем случае 3.
-b номер:/path/to/blacklist
Задает файл черного списка адресов и количество блокировок, после которого IP адрес будет помещен в этот список.
-w адрес/хост/блок/файл
Данная опция определяет белый список адресов. Может принимать IP адрес IP4 или IP6, доменное имя хоста или блок IP адресов в формате 10.20.30.0/24. Кроме того можно прописать путь до файла, содержащего все вышеперечисленное в виде списка. Что-бы указать несколько адресов, хостов или блоков, данную нужно использовать повторно, то есть -w 1.2.3.4 -w 5.6.7.8 -w microsoft.com. Мы прописали путь до файла.
-p секунды
Время блокировки адреса атакующего. По умолчанию 420 секунд ( 7 минут )
-s секунд
Реабилитировать адрес после указанного количества секунд. По умолчанию 20*60 ( 20 минут). Грубо говоря, если попытки атаки с одного IP предпринимаются раз в 20 минут, в черный список он не попадет никогда.

Программа sshguard поддерживает следующие форматы лог файлов:
syslig
syslog-ng
metalog
multilog
raw messages

и работает со следующими фаерволами:
IBM AIX firewall
PF
netfilter/iptables
IPFW
IP Filter
/etc/hosts.allow
null firewall

Источник: http://vds-admin.ru/ssh/zashchita-ssh-ot-podbora-parolya


если не создать блеклист - то он создаться автоматом
белый лист сам не создается ))

да мне /etc/rc.d/syslogd restart не помог
только ./syslogd start

и stop соовественно


Вернуться обратно


Смотрите также:

19.07.2018: Как сделать ключ для работы с Git

24.04.2018: Про Linux на слабых нетбуках

14.09.2017: Делаем https

12.01.2017: Построение Linux-кластера в облаке
полезное видео по теме
11.01.2017: Tarantool - полезная информация


     



Откройте страницу
на смартфоне!

Логин:
Пароль:
 

Карта сайта
Сopyright © 2003-2018 mnbv.ru