アンチブルートフォースアタック
PAMレベルの防止策を入れても相変わらずの激しいアタックに心配になったので...
アンチ ブルート・フォースアタック - なぜか数学者にはワイン好きが多い
blocksshdを入れることにしました.
まずはREADMEファイルをチェックして,必要なperlライブラリを入れます.
BlockSSHD requires the following CPAN modules:
*) Sys::Syslog - often comes with Perl and may already be installed;
*) Sys::Hostname - often comes with Perl and may already be installed;
*) File::Tail;
*) Tie::File;
*) Net::DNS;
*) Net::Subnets;
*) Getopt::Long;
# perl -MCPAN -e shell cpan shell -- CPAN exploration and modules installation (v1.9402) Enter 'h' for help. cpan[1]> install Sys::Syslog cpan[2]> install Sys::Hostname Sys::Hostname is up to date (1.11). cpan[3]> install File::Tail cpan[4]> install Net::DNS cpan[5]> install Getopt::Long cpan[6]> install Net::Subnets Running install for module 'Net::Subnets' The module Net::Subnets isn't available on CPAN.
なぜかNet::Subnetsがありません...いくらCPANの中を探しても無いので,ググって無理やりperlのソースを探しました.
そして展開してコピーしてインストール.
# wget ftp://ftp.openbsd.org/pub/OpenBSD/4.4/packages/arm/p5-Net-Subnets-0.21.tgz # tar xvf p5-Net-Subnets-0.21.tgz # cp libdata/perl5/site_perl/Net/Subnets.pm /usr/local/lib/perl5/5.8.9/Net/
FreeBSD用に,BlockSSHDの設定ファイルを少々修正します.
# cp blocksshd.conf /etc/ # ng /etc/blocksshd.conf logfile => '/var/log/auth.log', # Log file to monitor os => 'bsd', # Target OS - either linux or bsd # make install # kldload pf
BlockSSHを走らせる.
# blocksshd pfctl: Table does not exist.
おっと,スマソ...ということで,PFを有効にする.
# ng /etc/pf.conf table <blocksshd> persist {} # pfctl -T load -f /etc/pf.conf # blocksshd --start No ALTQ support in kernel ALTQ related functions disabled
Ok.
こんな感じで効いてます.
Nov 16 18:51:38 www sshd[80323]: Failed keyboard-interactive/pam for invalid user george from 201.9.50.242 port 58458 ssh2 Nov 16 18:51:58 www blocksshd[22138]: 201.9.50.242 was logged with a total count of 4 failed attempts Nov 16 18:51:58 www blocksshd[22138]: IP 201.9.50.242 reached the maximum number of failed attempts! Nov 16 18:51:58 www blocksshd[22138]: Blocking 201.9.50.242 in pf table blocksshd.
こんな感じで確認を...
# pfctl -T show -t blocksshd No ALTQ support in kernel ALTQ related functions disabled 201.9.50.242