Sshguard/ru

sshguard — это система предотвращения вторжений, которая разбирает логи сервера, определяет подозрительную активность и затем использует системный межсетевой экран, чтобы блокировать IP-адреса злонамеренных подключений. sshguard написан на C, поэтому он не нагружает систему.

Как это работает
sshguard является простой службой, которая постоянно отслеживает изменения в одном или нескольких файлах логов. Она разбирает события, которые демоны посылают в случае неудавшихся попыток входа в систему, а затем с помощью обновлений правил межсетевого экрана блокирует любые дальнейшие попытки от данных подключений.

Несмотря на название, sshguard разбирает не только логи SSH. Он также поддерживает многие почтовые системы, а также некоторые системы FTP. Полный список поддерживаемых устройств можно найти на сайте программы.

Установка
Установите :

Также удостоверьтесь, что пакет установлен и используется в качестве системного межсетевого экрана. Во время написания данной статьи, sshguard еще не поддерживал.

Более детальная информация по использованию и настройке IPtable может быть найдена в соответствующей статье.

Подготовка межсетевого экрана
Когда sshguard блокирует какого-либо злонамеренного пользователя (блокируя его IP-адрес), он будет использовать цепочку sshguard.

Подготовьте цепочку и удостоверьтесь, что она вызывается при обнаружении новых входящих соединений:

Просмотр лог-файлов
Основной идеей sshguard является то, что администратор указывает приложению отслеживаемые файлы логов через параметры командной строки. Как такового файла конфигурации для sshguard не существует.

В Gentoo параметры лучше всего определять в файле :

Убедитесь в том, что файлы логов доступны пользователю, от имени которого работает sshguard.

Служба
Чтобы sshguard запускался при старте системы, добавьте его в уровень запуска default, после чего запустите его:

File '/var/log/auth.log' vanished while adding!
При запуске, sshguard показывает следующую ошибку:

Such an error (the file path itself can be different) occurs when the target file is not available on the system. Make sure that it is created, or update the sshguard configuration to not add it for monitoring.

On a syslog-ng system with OpenRC, the following addition to can suffice:

Reload the configuration for the changes to take effect:

Смотрите также

 * Iptables, информация по установке и настройке iptables в Gentoo

Внешние ресурсы
Документация по sshguard дает всю необходимую информацию для дальнейшей настройки приложения.