SSH Guard
SSH Guard überwacht Anmeldeversuche und sperrt unbefugte Zugriffe.
Konzept
Ursprünglich überwachte SSH Guard nur fehlgeschlagene SSH-Anmeldeversuche. Inzwischen werden aber folgende Dienste erkannt:
SSH Guard beobachtet ständig die Protokolldateien der ausgewählten Dienste. Werden dabei fragwürdige Netzwerkzugriffe entdeckt, so wird der mutmassliche Angreifer vorübergehend mit einer entsprechenden Firewallregel geblockt. Hartnäckige Angreifer werden für immer längere Zeitspannen blockiert.
Installation
Ubuntu 8.04 Hardy Heron
$ sudo apt-get install sshguard
Konfiguration
Es gibt keine Konfigurationsdatei.
Erstellen einer neuen Iptables-Kette mit dem Namen "sshguard", in die SSH Guard später seine eigenen Regeln anhängt.
$ sudo iptables -N sshguard $ sudo ip6tables -N sshguard
Erweiterung der INPUT-Kette dergestalt, dass die Pakete durch die Iptables "sshguard" geschickt werden.
$ sudo iptables -A INPUT -j sshguard $ sudo ip6tables -A INPUT -j sshguard
Sollen beispielsweise nur die an den Ports 21 und 22 lauschenden Dienste geschützt werden, so werden diese über den Parameter "--destination-ports" angegeben.
$ sudo iptables -A INPUT -m multiport -p tcp --destination-ports 21,22 -j sshguard
Wer selbst Firewallregeln erstellt, muss abschliessend noch sicherstellen, dass keine "default allow"-Regel die Pakete weiter hinten in der Kette doch noch durchlässt und keine "default deny"-Regel alle Pakete verwirft.
Speichern der iptables-Befehle.
Weblinks
Herausgeber | Sprache | Webseitentitel | Anmerkungen |
---|---|---|---|
Oneandone | eng | SSH Guardwbm | Offizielle Homepage |