Sshguard/es

sshguard es un sistema de prevención de intrusiones que analiza los registros del servidor, determina la actividad maliciosa y utiliza el cortafuegos del sistema para bloquear las direcciones IP de las conexiones maliciosas. sshguard está escrito en C, así que no supone una carga para el sistema.

Cómo funciona
sshguard es un demonio sencillo que hace un seguimiento continuo de uno o más ficheros de registro. Analiza los eventos del registro que los demonios envían en caso de intentos de conexión fallidos y entonces bloquea cualquier intento de esas conexiones mediante la actualización del cortafuegos del sistema.

A diferencia de lo que su nombre indica, sshguard no solamente analiza los registros de SSH. También es compatible con muchos sistemas de correo, así como unos pocos FTP. Una lista completa de los servicios soportados se puede encontrar en el sitio web sshguard.net.

Emerge
Instale :

Asegúrese también de que está instalado el paquete y que el mismo se utiliza como el cortafuegos del sistema. Al momento de escribir (este artículo), sshguard todavía no soporta.

También se puede encontrar más información sobre el uso y configuración de IPtables en el artículo IPtables.

Preparar el cortafuegos
Cuando sshguard bloquea a cualquier usuario malintencionado (mediante el bloqueo de sus direcciones IP), utilizará la cadena sshguard.

Por tanto, prepare la cadena, y asegúrese también de que dicha cadena actúa cuando se detectan nuevas conexiones entrantes:

Supervisar los ficheros de registro
La idea básica detrás de sshguard es que el administrador analice el fichero(s) de registro (que elija) —dado que no hay ningún fichero de configuración nativo de sshguard— para verlo(s) como opciones de la aplicación.

En Gentoo, las opciones de sshguard se pueden afinar mejor en el fichero :

Asegúrese de que los ficheros de registro que utiliza el usuario sshguard le son accesibles en tiempo de ejecución.

OpenRC
Para que sshguard se inicie de forma predeterminada, hay que añadirlo al nivel de ejecución default y, luego, iniciarlo:

Blacklisting hosts
With the blacklisting option after a number of abuses the IP address of the attacker will be blocked permanently. The blacklist will be loaded at each startup and extended with new entries during operation. inserts a new address after it exceeded a threshold of abuses.

Blacklisted addresses are never scheduled to be released (allowed) again.

The  command line option enables blacklisting and requires a filename to use for permanent storage of the blacklist. An optional threshold is configurable within the same argument. This threshold is then first, after which the filename is mentioned separated by.

To enable blacklisting, create an appropriate directory and file:

Add the blacklist file to the configuration and alter the SSHGUARD_OPTS variable:

Restart the daemon to have the changes take effect:

¡El fichero '/var/log/auth.log' desapareció mientras se estaba añadiendo!
Cuando arranca, sshguard informa del siguiente error:

Este error (la ruta al fichero puede variar) ocurre cuando el fichero destino no está disponible en el sistema. Asegúrese de que se ha creado o actualice la configuración de sshguard para que no lo incluya en la monitorización.

En un sistema syslog-ng con OpenRC, suele ser suficiente añadir lo siguiente a :

Recargar la configuración para que los cambios tengan efecto:

Véase también

 * Iptables, para instalar y configurar iptables en Gentoo.

Recursos externos
La documentación de sshguard proporciona toda la información necesaria para afinar aún más la aplicación.