web-dev-qa-db-ja.com

SSHGuard-netfilter / iptablesを構成します

SSHGuardの設定/手口について質問があります。

毎秒約3回発生するsshブルートフォース攻撃をブロックしたいと思います。私はAmazonインスタンスを使用していますが、パスワードログインが無効になっており、sshは公開鍵/秘密鍵でのみ機能します。

SSHGuardを使用してIPをブロックしたいのですが、SSH、HTTP、HTTPS、DNSを開く必要があります。問題は、SSHGuardが(ログファイルに応じて)次の構成(ドキュメントから取得)で攻撃を認識してブロックするのか、それともsshがまだ開いていることを意味するのかということです。ドキュメントは私には役に立たないので、私は質問しています。

iptables -N sshguard
# block whatever SSHGuard says be bad ...
iptables -A INPUT -j sshguard
# enable ssh, dns, http, https
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# and block everything else (default deny)
iptables -P INPUT DROP

前もって感謝します。

1
user937284

これは、iptables--ファイアウォールユーティリティの構成です。 SSHGuardが何をするかを認識していません。

ポートが開いていることがわかります(22、53、80、443)。

ただし、すべての(!)着信パケットは最初にsshguardiptablesテーブルに送られます。 sshguardが通過させた場合、パケットは22、53、80、または443ポートに到達できます。別のポート宛ての場合は、ドロップされます。

1
Gevial