SSHGuard - настройка сетевого фильтра /iptables

Question

SSHGuard - настройка сетевого фильтра /iptables

У меня есть вопрос о настройке / способе работы SSHGuard.

Я хотел бы блокировать атаки с использованием грубой силы ssh, которые происходят примерно 3 раза в секунду. Я нахожусь на экземпляре Amazon, вход с паролем отключен, и ssh работает только с открытыми / закрытыми ключами.

Я хотел бы использовать SSHGuard для блокировки IP-адресов, но мне нужно, чтобы SSH, HTTP, HTTPS, DNS были открыты. Вопрос в том, распознает ли SSHGuard и блокирует (в зависимости от файлов журнала) атаку следующей конфигурацией (взятой из doc), или это означает, что ssh все еще открыт? Документация мне не помогает, поэтому я спрашиваю.

iptables -N sshguard
# block whatever SSHGuard says be bad ...
iptables -A INPUT -j sshguard
# enable ssh, dns, http, https
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# and block everything else (default deny)
iptables -P INPUT DROP

Заранее спасибо.

1

ssh brute-force-attacks

Источник

user937284 12 мар '13 в 10:56

1 ответ

Решение

Другие вопросы по тегам ssh brute-force-attacks

Gevial 12 мар '13 в 11:18 2013-03-12 11:18 · Accepted Answer · 2013-03-12 11:18

Это конфигурация для iptables утилита брандмауэра. Он не знает, что делает SSHGuard.

Я вижу, что порты открыты (22, 53, 80, 443).

Но каждый (!) Входящий пакет отправляется на sshguard таблица iptables первый. Если sshguard пропустит его, пакет может достигнуть порта 22, 53, 80 или 443. Если он предназначен для другого порта, он отбрасывается.