SSHのブルートフォースアタック対応でipfw+SSHGuardを使う
SSHに対するブルートフォースアタックに対応するために、SSHGuardを使用する。
portsになっているので、pkg でインストールする。
pkg install sshguard-ipfw echo 'auth.info;authpriv.info |exec /usr/local/sbin/sshguard' >> /etc/syslog.conf /etc/rc.d/syslogd reload echo 'sshguard_enable="YES"' >> /etc/rc.conf /usr/local/etc/rc.d/sshguard start
ipfw を使っているならすでにsshについての項目が有ると思うが、SSHGuard は 55000 から 55050 にルールを追加するので、ルール番号を 55050 以降にする。
ipfw list 一部抜粋 01360 allow tcp from any to me dst-port 21 keep-state 55027 deny ip from 85.95.252.xxx to me 56000 allow tcp from any to me dst-port 22 keep-state 56100 allow tcp from any to me dst-port 25 keep-state
現在ブロックされているIPアドレスは
ipfw list | awk '{ if($1 >= 55000 && $1 <= 55050) print $5 }'
ipfw delete ルール番号
http://blog.up-link.ro/ssh-security-how-to-block-ssh-brute-force-attacks-with-sshguard/