Чем дальше, тем больше происходит атак на подбор пароля. Наверное не реально сейчас найти хост в сети, который ни разу не атаковали эти черви. При хорошем пароле беспокоиться в общем то нечего. Те черви, которые я видел, перебирают пароли по словарю. Вот читать авторизации становится очень неудобно. Ну а соответственно с течением времени появляются все новые програмы по защите от брутофорса. Недавно я ставил на один сервер sshguard в связке с ipfw. sshguard очень прост в установке и настройке. Точнее настроек то у него практически и нет. Ставить будем sshguard с плугином под ipfw.

cd /usr/ports/security/sshguard-ipfw/
make install clean

Нет никаких опций сборки. После установки можно переходить к его настройке.
Нужно добавить его вызов в /etc/syslog.conf:

auth.info;authpriv.info                         |/usr/local/sbin/sshguard -w 89.252.34.107

Опция командной строки -w – это белый список, сюда можно передать хосты или сети, которые нельзя блокировать. На каждую сеть или хост своя опция -w
На этом вобщем то все.
Теперь о том что можно настроить еще.
Брутефорсом sshguard, по умолчанию, считает 4 неудачные набора пароля. Изменяется это число с помощью опции -a
После того как sshguard определит брутефорс, он добавит правило в файерволл deny ip from brute.ip.add.ress to me, а потом по истечении времени, по умолчанию это 420 секунд, правило удалится. При повторе атаки время блокировки выростет в 2 раза.
Так же с помощью опции -b можно сделать черные список. Указать -b 10:/var/db/sshguard/blacklist.db и после 10 блокировок файерволом, хост будет внесен в черный список и навсегда блокирован.
Блокирующие правила располагаются после 55000 правила.
На этом о настройке sshguard все.

Добавить в закладки:

• 

  By gunf, 06.08.2010 @ 10:45

  Hilik, проверил, работает, спасибо!

  А вообще разрешите выразить Вам огромную благодарность за Ваши статьи! Очень познавательно, просто методическое пособие! Благодаря Вам, я надеюсь чему-то научился.
  Спасибо!

Other Links to this Post