设置和配置

Sshguard与系统相连的点有两个:
•日志系统sshguard如何接收需要监控的日志消息)
•防火墙sshguard如何阻止异常的地址)

自版本1.5以后,sshguard就随带Log Suckerhttp://www.sshguard.net/docs/setup/getlogs/log-sucker/)。借助Log Sucker,SSHGuard可以积极主动地获取日志条目,并且透明地处理一些事件,比如轮转日志文件以及文件消失和重现。

在官方的说明文档页面http://www.sshguard.net/docs/setup/),附有针对许多不同防火墙的操作说明,我将遵照netfilter/iptables的操作说明。

sshguard并没有配置文件。需要完成的所有配置就是在iptables的INPUT链中创建一个名为“sshguard”的链,sshguard就会自动插入规则,丢弃来自坏主机的数据包:

# for regular IPv4 support:针对普通的IPv4支持功能)
iptables -N sshguard
# if you want IPv6 support as well:如果你还想要获得IPv6支持功能)
ip6tables -N sshguard

现在,更新INPUT链,以便它能将所有流量传送到sshguard,用–dport指定你想用sshguard来保护的服务的所有端口。如果你想阻止攻击者将任何流量发送到主机,只要完全删除这个选项即可:

# block any traffic from abusers阻止来自攻击者的任何流量)
iptables -A INPUT -j sshguard
ip6tables -A INPUT -j sshguard
         -- or --
  # block abusers only for SSH, FTP, POP, IMAP services (use "multiport" module)阻止攻击者,只允许SSH、FTP、POP和IMAP服务,使用“multiport”模块)
iptables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143 -j sshguard
ip6tables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143 -j sshguard

如果你目前没有使用iptables,只想让sshguard建立并运行起来,又不对你的系统造成任何进一步的影响,下面这些命令就会创建并保存iptables配置,除了允许sshguard运行外,绝不会进行任何操作:

# iptables -F
# iptables -X
# iptables -P INPUT ACCEPT
# iptables -P FORWARD ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -N sshguard
# iptables -A INPUT -j sshguard
# /etc/rc.d/iptables save

小结

要让基本安装的sshguard建立并运行起来,只要完成上面这几个步骤,它会帮助你让你的ssh、ftp及其他后台驻留程序更安全一点。


共2页: 上一页12下一页

相关内容