SSHGuard, contre la force brute

De OpenWikiBSD
Aller à : navigation, rechercher

Objectifs

Surveiller les connexions (via Syslog) entrantes et informer le parefeu pf des IP sources des attaques en force brute sur les divers services ouverts.

Contrairement à ce que le nom laisse penser, l'outil peut gérer les protocoles mails, webs,..

Installation et Configuration

pkg_add -i sshguard

Puis dans /etc/pf.conf

table <sshguard> persist
block in proto tcp from <sshguard> to port $mail_ports
block in proto tcp from <sshguard> to port $ssh_port
block in proto tcp from <sshguard> to port $http_ports

On teste que tout fonctionne et on relance

pfctl -vnf /etc/pf.conf
rcctl enable sshguard
rcctl start sshguard

Configuration des listes blanches

Afin de ne pas vous enfermer dehors, je vous conseille de whitelister votre accès d'administration :

mkdir -p /var/db/sshguard/
touch /var/db/sshguard/whitelist.db
echo "IP_ADM" >> /var/db/sshguard/whitelist.db
rcctl set sshguard flags -a 50 -l /var/log/authlog  -l /var/log/maillog -p 14400 -w /var/db/sshguard/whitelist.db

Sur les accès Mails (Pop, Imap), et SSH, je bloque durant 4h les attaques au bout de 50 essais, sans tenir compte de l'IP d'admin.

Sources

[1]

Parefeu

Whitelisting