Eu tenho uma pergunta sobre a configuração / modus operandi do SSHGuard.
Eu gostaria de bloquear ataques de força bruta ssh que ocorrem cerca de 3 vezes por segundo. Estou em uma instância do Amazon, o login com senha está desativado e o ssh funciona somente com chaves públicas / privadas.
Eu gostaria de usar o SSHGuard para bloquear os IPs, mas preciso que SSH, HTTP, HTTPS e DNS estejam abertos. A questão é: o SSHGuard reconhece e bloqueia (dependendo dos arquivos de log) o ataque com a seguinte configuração (tirada do doc), ou isso significa que o ssh ainda está aberto? A documentação não é útil para mim, é por isso que estou perguntando.
iptables -N sshguard
# block whatever SSHGuard says be bad ...
iptables -A INPUT -j sshguard
# enable ssh, dns, http, https
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# and block everything else (default deny)
iptables -P INPUT DROP
Obrigado antecipadamente.
Esta é a configuração do utilitário iptables - firewall. Não tem conhecimento do que o SSHGuard faz.
Eu vejo que as portas estão abertas (22, 53, 80, 443).
Mas todo pacote de entrada (!) vai para sshguard table de iptables first. Se o sshguard deixar passar, o pacote pode alcançar a porta 22, 53, 80 ou 443. Se for destinado a outra porta, ele será descartado.
Tags ssh brute-force-attacks