Sshguard: Difference between revisions
Line 15: | Line 15: | ||
==Instaleerimine== | ==Instaleerimine== | ||
SSHguard'il ei ole konfiguratsioonifaili. Kogu konfigureerimine mida peab tegema on luua ahel "Sshguard" INPUT ahelasse iptable'is, | SSHguard'il ei ole konfiguratsioonifaili. Kogu konfigureerimine mida peab tegema on luua ahel "Sshguard" ning lisada reegel INPUT ahelasse iptable'is. Seejärel teha suunamine kõigile sissetulevatele pakettidele läbi sshguard ahela, mis tagab et kogu logi sisenevate pakettide kohta jõuab sshguardini. Sshguard saab seejärel sisestada tulemüüri reegleid blokeerimaks sissetulevaid pakette mis saabuvad keelatud hostidelt. | ||
Sshguard installeerimise eelduseks on iptables olemasolu. Iptables on olemas kõigil Ubuntu distributsioonidel. Mõne teise Linuxi distributsiooni korral peab eelnevalt kontrollima kas iptables on paigaldatud. Kui iptables tulemüür puudub tuleb see installeerida. | Sshguard installeerimise eelduseks on iptables olemasolu. Iptables on olemas kõigil Ubuntu distributsioonidel. Mõne teise Linuxi distributsiooni korral peab eelnevalt kontrollima kas iptables on paigaldatud. Kui iptables tulemüür puudub tuleb see installeerida. |
Revision as of 23:42, 24 November 2011
Broneeritud: Robert Vane
Mis on SSHGUARD ja mida see teeb?
Sshguard on teenus mis kaitseb masinal jooksvaid võrguteenuseid (näiteks ssh, imap, pop) erinevate rünnakute eest. Sshguard teeb seda jälgides konstantselt erinevaid süsteemilogisid (näiteks syslog,syslog-ng,metalog, multilog,raw messages). Rünnaku avastamisel kasutab Sshguard masinas asuvat tulemüüri realiseerimaks teatud ajaks blokeeringut ründaja IP aadressile. Linuxis oskab Sshguard kasutada netfilter/iptables tulemüüre. Esimene blokeering kestab 7 minutit, järgmine juba 14 minutit ning suureneb kaks korda iga järgneva rünnaku tundemärgi avastamisel.
Näiteks kui sshguard avastab et aadress X tegi midagi kahtlast või halba teenusele Y, käivitab sshguard masina tulemüüris reegli blokeerimaks aadressi X. Sshguard hoiab aadressi X blokeerituna 7 min ning seejärel vabastab ta blokeeringust. Kui sshguard avastab et aadress X tegi uuesti midagi kahtlast või halba teenusele Y, blokeeritakse aadress X 14 minutiks.
NB! Olenemata oma nimest Sshguard kaitseb ta ka teisi teenuseid kui SSH
Erinevalt sarnasest lahendusest fail2ban on sshguard lihtsam, väiksem, kirjutatud C keeles mistõttu kasutab ta vähem süsteemiresursse. Olenemata sellest tagab ta võrdväärse funktsionaalsuse.
Instaleerimine
SSHguard'il ei ole konfiguratsioonifaili. Kogu konfigureerimine mida peab tegema on luua ahel "Sshguard" ning lisada reegel INPUT ahelasse iptable'is. Seejärel teha suunamine kõigile sissetulevatele pakettidele läbi sshguard ahela, mis tagab et kogu logi sisenevate pakettide kohta jõuab sshguardini. Sshguard saab seejärel sisestada tulemüüri reegleid blokeerimaks sissetulevaid pakette mis saabuvad keelatud hostidelt.
Sshguard installeerimise eelduseks on iptables olemasolu. Iptables on olemas kõigil Ubuntu distributsioonidel. Mõne teise Linuxi distributsiooni korral peab eelnevalt kontrollima kas iptables on paigaldatud. Kui iptables tulemüür puudub tuleb see installeerida.
Seejärel võib installeerida sshguard'i
apt-get install ssh-guard
Seadistamine
Nagu öeldud ei ole Sshguardil konfiguratsioonifaili. Kõigepealt peab looma uue ahela nimega "sshguard" iptables tulemüüri.
iptables -N sshguard
Seejärel tuleb modifitseerida INPUT ahelat nii, et ta saadaks kogu sissetuleva võrguliikluse edasi Sshguardile.
iptables -A INPUT -j sshguard