« Protéger SSH avec sshguard OLD (1.4) » : différence entre les versions

De Linux Server Wiki
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
Aucun résumé des modifications
Ligne 4 : Ligne 4 :


<pre>aptitude install sshguard</pre>
<pre>aptitude install sshguard</pre>
Configurez la whitelist :
<pre>
echo "127.0.0.1" > /etc/sshguard_whitelist
echo "::1" >>  /etc/sshguard_whitelist
</pre>


=Lancement manuel=
=Lancement manuel=
Ligne 38 : Ligne 44 :
iptables --list sshguard
iptables --list sshguard
ip6tables --list sshguard
ip6tables --list sshguard
</pre>
Configurez la whitelist :
<pre>
echo "127.0.0.1" > /etc/sshguard_whitelist
echo "::1" >>  /etc/sshguard_whitelist
</pre>
</pre>



Version du 17 juin 2011 à 14:48

Debian Lenny : Vérifiez que vous avez les dépôts backports configurés dans /etc/apt/sources.list :

deb http://backports.debian.org/debian-backports lenny-backports main
aptitude install sshguard

Configurez la whitelist :

echo "127.0.0.1" > /etc/sshguard_whitelist
echo "::1" >>  /etc/sshguard_whitelist

Lancement manuel

Support IPv4 :

iptables -N sshguard

Support IPv6 :

ip6tables -N sshguard

Paramétrer le blocage pour les ports ssh, ftp, pop, imap, http et https :

iptables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143,80,443 -j sshguard
ip6tables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143,80,443 -j sshguard

Configurez la restauration automatique des règles iptables lors d'un reboot :

iptables-save > /etc/sshguard_iptables
ip6tables-save > /etc/sshguard_ip6tables

Créez le fichier /etc/network/if-up.d/sshguard contenant :

#! /bin/sh
iptables-restore < /etc/sshguard_iptables
ip6tables-restore < /etc/sshguard_ip6tables

Rendez ce fichier exécutable :

chmod +x /etc/network/if-up.d/sshguard

Après un reboot, vous pouvez vérifier que les règles ont bien été redéfinies :

iptables --list sshguard
ip6tables --list sshguard

Enfin, voici comment lancer sshguard :

tail -n0 -F /var/log/auth.log | /usr/sbin/sshguard -a 2 -p 1800 -w /etc/sshguard_whitelist &

Vous pouvez ajouter cette ligne à la fin du fichier /etc/network/if-up.d/sshguard

Lancement automatique avant ssh

Créez le fichier /etc/init.d/sshguard :

#! /bin/sh

case "$1" in
        start)
                iptables -N sshguard
                ip6tables -N sshguard
                iptables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143,80,443 -j sshguard
                ip6tables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143,80,443 -j sshguard
                tail -n0 -F /var/log/auth.log | /usr/sbin/sshguard -a 2 -p 1800 -w /etc/sshguard_whitelist &
        ;;
        stop)
                killall /usr/sbin/sshguard
                iptables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143,80,443 -j sshguard
                ip6tables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143,80,443 -j sshguard
                iptables -X sshguard
                iptables -X sshguard
        ;;
        *)
                echo "Usage: $0 {start|stop}"
                exit 1
        ;;
esac

Rendez le exectuable :

chmod +x /etc/init.d/sshguard
update-rc.d sshguard start 15 2 3 4 5 . stop 85 1 .