読者です 読者をやめる 読者になる 読者になる

SSHのブルートフォースアタック対応でipfw+SSHGuardを使う

server FreeBSD

SSHに対するブルートフォースアタックに対応するために、SSHGuardを使用する。

portsになっているので、pkg でインストールする。

pkg install sshguard-ipfw
echo 'auth.info;authpriv.info     |exec /usr/local/sbin/sshguard' >> /etc/syslog.conf
/etc/rc.d/syslogd reload
echo 'sshguard_enable="YES"'  >> /etc/rc.conf
/usr/local/etc/rc.d/sshguard start

ipfw を使っているならすでにsshについての項目が有ると思うが、SSHGuard は 55000 から 55050 にルールを追加するので、ルール番号を 55050 以降にする。

ipfw list
一部抜粋
01360 allow tcp from any to me dst-port 21 keep-state
55027 deny ip from 85.95.252.xxx to me
56000 allow tcp from any to me dst-port 22 keep-state
56100 allow tcp from any to me dst-port 25 keep-state


現在ブロックされているIPアドレス

ipfw list | awk '{ if($1 >= 55000 && $1 <= 55050) print $5 }'


ブロックされたIPアドレスipfwのルールから外すのは

ipfw delete ルール番号


http://blog.up-link.ro/ssh-security-how-to-block-ssh-brute-force-attacks-with-sshguard/

http://www.sshguard.net/docs/setup/firewall/ipfw/