Sshguard - защитим ssh

Материал из rrv-wiki
Перейти к навигации Перейти к поиску

Если вас замучили подборами ssh-пароля, можно воспользоваться одной из программ защиты sshguard:

  • /usr/ports/security/sshguard - Автоматически добавляет ip-адреса "ошибающихся" в /etc/hosts.allow как запрещенные;
  • /usr/ports/security/sshguard-ipfw - Автоматически добавляет ip-адреса "ошибающихся" в запрещающие правила ipfw;
  • /usr/ports/security/sshguard-pf - Автоматически добавляет ip-адреса "ошибающихся" в запрещающие правила pf.

После установки, добавим в /etc/syslog.conf: 

auth.info;authpriv.info|exec /usr/local/sbin/sshguard -a 7 -b 10:/var/db/sshguard/blacklist.db \
-p 3600 -s 36000 -w 192.168.0.0.24 -w rrv.nsk.ru
  • -a количество вводов пароля, после которого ip-адрес блокируется
  • -b X:/var/db/sshguard/blacklist.db – создает черный список по которому после X банов, ip-адрес блокируется на всегда
  • -p X - shguard разрешит повторить попытку во временном интервале между X и 1.5*X секунд. (По умолчанию: 7 мин)
  • -s X - забыть о ip адрес после X секунд. Если одна атака совершается реже каждых X cекунд, то он ip не будет заблокирован. (По умолчанию: 20 мин)
  • -w белый список, перед каждым ip, доменным именем или диапазоном по маске надо ставить данный ключ

Перезапускаем syslog: 

/etc/rc.d/syslogd reload
Источник — https://i-rrv.ru/wiki/index.php?title=Sshguard_-_защитим_ssh&oldid=287