Sshguard/ru

is Article description::an intrusion prevention system that parses server logs, determines malicious activity, and uses the system firewall to block the IP addresses of malicious connections. sshguard is written in C so it does not tax an interpreter.

Как это работает
sshguard является простой службой, которая постоянно отслеживает изменения в одном или нескольких файлах лога. Она разбирает события, которые демоны посылают в случае неудавшихся попыток входа в систему, а затем, с помощью обновлений правил межсетевого экрана, блокирует любые дальнейшие попытки от данных подключений.

Unlike what the name implies, sshguard does not only parse SSH logs. It also supports many mail systems as well as a few FTP ones. A full listing of supported services can be found on the sshguard.net website.

Emerge
Установите :

Также удостоверьтесь, что пакет установлен и используется в качестве системного межсетевого экрана. Во время написания данной статьи, sshguard еще не поддерживал.

Более детальная информация по использованию и настройке IPtable может быть найдена в соответствующей статье.

Подготовка межсетевого экрана
When blocks any malicious users (by blocking their IP addresses), it will use the  chain.

Подготовьте цепочку и удостоверьтесь, что она вызывается при обнаружении новых входящих соединений:

Просмотр лог-файлов
Основная идея sshguard в том, что администратор указывает приложению отслеживаемые файлы логов через параметры командной строки. Как такового файла конфигурации для sshguard не существует.

On Gentoo, the options can be best configured in the file:

Убедитесь в том, что файлы логов доступны пользователю, от имени которого работает sshguard.

OpenRC
Чтобы sshguard запускался при старте системы, добавьте его в уровень запуска default, после чего запустите его:

Занесение хостов в черный список (blacklist)
With the blacklisting option after a number of abuses the IP address of the attacker or a IP subnet will be blocked permanently. The blacklist will be loaded at each startup and extended with new entries during operation. inserts a new address after it exceeded a threshold of abuses.

Адреса из черного списка никогда не выходят из него (не разрешаются) снова.

Чтобы задействовать черный список, создайте соответствующий каталог и файл:

While defining a blacklist it is important to exclude trusted IP networks and hosts in a whitelist.

To enable whitelisting, create an appropriate directory and file:

The whitelist has to include the loopback interface, and should have at least 1 IP trusted network f.e. 192.0.2.0/24.

Add the BLACKLIST_FILE and WHITELIST_FILE file to the configuration:

Перезапустите, чтобы изменения вступили в силу:

File '/var/log/auth.log' vanished while adding!
При запуске, sshguard показывает следующую ошибку:

Такая ошибка (путь до файл может быть различным) происходит, когда целевой файл не доступен в системе. Убедитесь, что он создан, или измените конфигурацию sshguard так, чтобы не следить за этим файлом.

На системах с OpenRC и syslog-ng, следующего дополнения к может хватить:

Перезагрузите конфигурацию, чтобы изменения вступили в силу:

Смотрите также

 * Iptables - An article on installing and configuring the firewall on Gentoo.

Внешние ресурсы
Документация по sshguard дает всю необходимую информацию для дальнейшей настройки приложения.