У меня вопрос о настройке / способах работы SSHGuard.
Я хотел бы заблокировать атаки грубой силы ssh, которые происходят примерно 3 раза в секунду. Я использую экземпляр Amazon, вход по паролю отключен, а ssh работает только с общедоступными / закрытыми ключами.
Я хотел бы использовать SSHGuard для блокировки IP-адресов, но мне нужно, чтобы были открыты SSH, HTTP, HTTPS, DNS. Вопрос в том, распознает ли SSHGuard и блокирует (в зависимости от файлов журнала) атаку со следующей конфигурацией (взятой из документа), или это означает, что ssh все еще открыт? Документация мне не помогает, поэтому я спрашиваю.
iptables -N sshguard
# block whatever SSHGuard says be bad ...
iptables -A INPUT -j sshguard
# enable ssh, dns, http, https
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# and block everything else (default deny)
iptables -P INPUT DROP
Заранее спасибо.
Это конфигурация для iptables
- утилита межсетевого экрана. Ему неизвестно, что делает SSHGuard.
Вижу, что порты открыты (22, 53, 80, 443).
Но каждый (!) Входящий пакет отправляется sshguard
таблица iptables
первый. Если sshguard пропускает его, пакет может достичь порта 22, 53, 80 или 443. Если он предназначен для другого порта, он отбрасывается.