SSH Guard

Aus Mikiwiki
Zur Navigation springen Zur Suche springen

SSH Guard überwacht Anmeldeversuche und sperrt unbefugte Zugriffe.

Konzept

Ursprünglich überwachte SSH Guard nur fehlgeschlagene SSH-Anmeldeversuche. Inzwischen werden aber folgende Dienste erkannt:

  • SSH
  • Sendmail
  • Exim
  • Dovecot
  • Cucipop
  • UW-Imap (IMAP, POP)
  • WS-FTPD
  • Pro-FTPD
  • Pure-FTPD
  • Free-BSD-FTPD

SSH Guard beobachtet ständig die Protokolldateien der ausgewählten Dienste. Werden dabei fragwürdige Netzwerkzugriffe entdeckt, so wird der mutmassliche Angreifer vorübergehend mit einer entsprechenden Firewallregel geblockt. Hartnäckige Angreifer werden für immer längere Zeitspannen blockiert.

Installation

Ubuntu 8.04 Hardy Heron

$ sudo apt-get install sshguard

Konfiguration

Es gibt keine Konfigurationsdatei.

Erstellen einer neuen Iptables-Kette mit dem Namen "sshguard", in die SSH Guard später seine eigenen Regeln anhängt.

$ sudo iptables -N sshguard
$ sudo ip6tables -N sshguard

Erweiterung der INPUT-Kette dergestalt, dass die Pakete durch die Iptables "sshguard" geschickt werden.

$ sudo iptables -A INPUT -j sshguard
$ sudo ip6tables -A INPUT -j sshguard

Sollen beispielsweise nur die an den Ports 21 und 22 lauschenden Dienste geschützt werden, so werden diese über den Parameter "--destination-ports" angegeben.

$ sudo iptables -A INPUT -m multiport -p tcp --destination-ports 21,22 -j sshguard

Wer selbst Firewallregeln erstellt, muss abschliessend noch sicherstellen, dass keine "default allow"-Regel die Pakete weiter hinten in der Kette doch noch durchlässt und keine "default deny"-Regel alle Pakete verwirft.

Speichern der iptables-Befehle.

Weblinks

Herausgeber Sprache Webseitentitel Anmerkungen
Oneandone eng SSH Guardwbm Offizielle Homepage