Как установить SSHGuard на Ubuntu

SSHGuard является очень полезным инструментом мониторинга для предотвращения вторжений. SSHGuard читает сообщения журнала из стандартного ввода и определяет вредоносные действия. Если атака обнаружена, атакующий IP адрес немедленно блокируется в брандмауэре. В этой статье мы будем направлять вас через шаги установки SSHGuard на Ubuntu, чтобы защитить свой сервер от нападения. Кроме сервиса SSH как предполагает имя, SHSGuard также может защитить многие сервисы из коробки. Ниже перечислены все услуги, которые могут быть защищены с помощью sshguard:

• SSH
• Sendmail
• Exim
• dovecot
• Cucipop
• UWimap (imap, pop)
• vsftpd
• proftpd
• pure-ftpd
• FreeBSD ftpd
• Request new!

Войдите на сервер в качестве пользователя root

ssh root@IP

 

Перед тем, как продолжить работу лучше начать сеанс экрана, выполнив следующую команду

screen -U -S sshguard

 

Нам нужно будет собрать и установить SSHGuard из исходных текстов, так что установите необходимые пакеты

apt-get install gcc make

 

Убедитесь, что все пакеты на вашем сервере Ubuntu в актуальном состоянии

apt-get update
apt-get upgrade

 

Теперь измените текущий рабочий каталог и скачайте последнюю версию исходного кода SSHGuard на сервер

cd /opt
wget http://downloads.sourceforge.net/project/sshguard/sshguard/sshguard-1.5/sshguard-1.5.tar.bz2

 

Распакуйте загруженный архив

bunzip2 sshguard-1.5.tar.bz2
tar -xvf sshguard-1.5.tar

 

Все файлы SSHGuard будут распакованы в новом каталоге ‘sshguard-1.5’. Зайдите внутрь этого каталога соберите и установите источник

cd sshguard-1.5
./configure –with-firewall=iptables
make && make install

 

Это позволит установить sshguard двоичный файл на сервере.

SSHGuard не имеет свой собственный конфигурационный файл, нам нужно настроить его с помощью Iptables. В первую очередь создайте новую цепь в IPTables так SSHGuard может вставить свои правила блокировки

iptables -N sshguard

 

Теперь обновите входную цепочку для передачи трафика на цепь sshguard, созданной на предыдущем шаге. Это укажет IPTables блокировать весь трафик с IP-адреса нарушителя

iptables -A INPUT -j sshguard

 

Если вы хотите блокировать IP-адреса нарушителя только для конкретной услуги, такие как SSH, POP, IMAP, FTP, и т.д. … Вы можете использовать мультипортовый модуль IPtables. Например, если вы хотите блокировать трафик для FTP-сервиса вы можете использовать следующую команду

iptables -A INPUT -m multiport -p tcp --destination-ports 21 -j sshguard

 

Вы можете также блокировать IP-адреса нарушителя для нескольких портов с помощью следующей команды

iptables -A INPUT -m multiport -p tcp --destination-ports 22,25,21 -j sshguard

 

Это правило будет блокировать трафик для SSH, почты и FTP-сервисов.

После настройки IPTables, сохраните конфигурацию Iptables

service iptables save

Это все. Вы можете посетить SSHGuard в официальную документацию, чтобы узнать , как настроить SSHGuard в соответствии с вашими потребностями.