SSHGUARD

Esse dias resolvi dar uma melhorada na nossa segurança aqui na empresa e resolvi instalar o SSHGUARD. nesse caso estou usando o Linux FEDORA 12
Esse programa ajuda a previnir ataques de forças bruta no ssh, ftp, dentre outros.
Ele funciona assim, ele monitora o log da máquina, quando ele pega 4 tentativas frustradas de acesso via ssh ele cria uma regra no firewall e bloqueia o ip de origem da máquina.
a primeira coisa a fazer é o download da versão mais recente do sshguard no site :

http://www.sshguard.net/download/
salva no computador e decompacta no meu caso salvei a versão sshguard-1.5.tar.bz2

dei o comando:

tar -xvjf sshguard-1.5.tar.bz2

criou uma pasta chamada

sshguard-1.5

dentro desta pasta tenho que compilar e instalar o programa

1º comando - ./configure --with-firewall=iptables --with-iptables=/sbin/iptables

Nesse comando eu preparei o programa p/ ser instalado indicando qual firewall que estou usando e qual o caminho do firewall

Se você não souber qual o caminho digite

whereis iptables

no meu caso deu no /sbin/iptables

2º comando - make

3º comando - make install


se não deu erro nenhum o sshguard está instalado e funcionando.


bom vamos por umas regras no firewall p/ direcionar todo o trafico ssh e ftp p/ sshguard.

criei um arquivo chamado fire que tem o seguinte conteúdo:

#!/bin/sh

######### LIMPAR REGRAS ##########
iptables -F
iptables -t nat -F
iptables -t mangle -F

######### SSHGUARD #######################
iptables -N sshguard
iptables -A INPUT -m multiport -p tcp --dport 21,22 -j sshguard

No meu caso eu quis que ele monitorasse somente ftp e ssh.
Esse programa monitora vários outros serviços como sendmail,vsftpd, Pure_FTPd dentre outros.

Se você quiser que ele monitores tudo basta você colocar a regra

iptables -A INPUT -j sshguard

em vez de colocar a regra que especifiquei as portas.

o sshguard tem uma lista branca onde você especifica ips ou nomes de computadores numa lista que não é bloqueado.

O sshguard funciona monitorando o log de acesso do ssh, então você tem que executar ele apontando p/ o log e se quiser especifando a lista branca

sshguard -l /var/log/secure -w ip -w ip2

-l especifica o log que ele tem que monitorar
-w especifica o ip que estará na lista branca.

vamos botar tudo pra funcionar.

Rode o seguinte comando:

 tail -f /var/log/messages | /usr/local/sbin/sshguard &

as ações do sshguard poderão ser monitoradas no /var/log/messages


Essa foi uma configuração básica mais que funcionou comigo.

Mas opções de funcionamento do programa poderão ser encontradas no site

http://www.sshguard.net/docs/

http://www.sshguard.net/support/

ou na revista admin magazine nº 2

http://www.adminmagazine.com.br/issue_admin/admin_02_windows_profissional

titulo da reportagem: goleiro do Servidor



bom é isso....boa sorte a todos