Sshguard

Installare sshguard per prevenire gli attacchi e' semplice, ma configurarlo e' tutta un'altra cosa. Se la vostra distribuzione non lo include, lo potete installare da https://bitbucket.org/sshguard/sshguard/src/master/

Se avete invesce Ubuntu o una sua derivata, vi basta lanciare:

 sudo apt-get install sshguard

e si installera' e configurera' da solo.

Una volta fatto cio' vi basta modificare /etc/sshguard/sshguard.conf (oppure /etc/default/sshguard) per personalizzarlo.

OPZIONI

In Ubuntu, le opzioni sono quelle di avvio su /etc/default/sshguard, quindi bisogna modificare il file con la riga delle opzioni tipo:

 ARGS="-a 30  -p 3600 -s 259200"

-a rappresenta il numero di tentativi, errore di log vale 10, quindi 30 significa 3 tentativi.

-p rappresenta il modulo di tempo, in secondi, per cui viene bloccato in IP malevolo. Se impostato a 120, la prima volta verra' bloccato per 120 secondi, la seconda volta per 240, la terza volta per 360 e cosi' via. (suggerisco 3600, cioe' un'ora)

-s rappresenta dopo quanti secondi la fedina penale dell'IP malevolo e' ripulita, quindi i contatori per l'IP ripartono da zero. (suggerisco 5184000, cioe' un mese)

Dopo aver modificato le impostazioni, bisogna riavviare il servizio.

 # service sshguard restart

CENTOS 7

Su Centos il pacchetto non รจ configurato quindi bisogna fare parecchie cose per far funzionare sshguard:

  • installare il pacchetto con yum oppure dnf
  • copiare il file di configurazione da quello di esempio:
 # cp /usr/share/doc/sshguard-2.4.2/examples/sshguard.conf.sample  /etc/sshguard.conf
  • modificare il file /etc/sshguard.conf:
    • levare il commento da BACKEND="/usr/libexec/sshguard/sshg-fw-iptables"
    • aggiungere FILES="/var/log/secure"
  • modificare iptables cosi':
  # iptables -N sshguard
  # iptables -A INPUT -j sshguard
  • rendere sshguard che attivo sempre all'avvio del computer:
   #  systemctl enable sshguard

Vedere i blocchi

Per vedere i blocchi basta usare il comando:

 iptables -nvL sshguard

oppure

 journalctl -afb -p info SYSLOG_FACILITY=4 SYSLOG_FACILITY=10

oppure cercare in

  • /var/log/syslog
  • /var/log/secure
  • /var/log/auth