SSHGuard je démon s otevřeným zdrojovým kódem, který chrání hostitele před útoky brutální síly. Toho se dosahuje monitorováním a agregací protokolů systému, detekováním útoků a blokováním útočníků pomocí jednoho z nich Linux firewall ustupuje: iptables, FirewallD, pf, a ipfw.

Původně navržen tak, aby poskytoval další vrstvu ochrany pro Služba OpenSSH, SSHGuard také chrání širokou škálu služeb, jako je Vsftpd a Postfix Rozpozná několik formátů protokolu včetně souborů Syslog, Syslog-ng a raw log.

[Možná by se vám také líbilo: Jak zabezpečit a zabezpečit server OpenSSH ]

SSHGuard je docela podobný Fail2ban pouze to, že je napsáno C (Fail2ban je napsáno v Python), je lehčí a poskytuje méně funkcí.

V této příručce ukážeme, jak můžete instalovat a konfigurovat SSHGuard blokovat SSH útoky brutální síly na vašem Linuxovém serveru.

Krok 1: Nainstalujte SSHGuard do Linuxu

Nainstalujte SSHGuard na Debian / Ubuntu

Nejprve aktualizujte seznamy balíčků a poté nainstalujte SSHGuard z výchozích úložišť pomocí apt balíček manager.

$ sudo apt update $ sudo apt install sshguard

Once installed, the SSHGuard service starts automatically, and you can verify this using the command:

$ sudo systemctl status sshguard

Install SSHGuard on RHEL Systems

For RHEL-based distributions such as CentOS, Rocky, and AlmaLinux, start off by installing the EPEL repository as provided in the command below.

$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
OR
$ sudo dnf install epel-release

With EPEL in place, go ahead and install SSHGuard using the dnf package manager.

$ sudo dnf install sshguard 

Once installed, start and set SSHGuard to start on system startup or reboot.

$ sudo systemctl start sshguard
$ sudo systemctl enable sshguard

Be sure to verify that SSHGuard is running as expected.

$ sudo systemctl status sshguard

Step 2: SSHGuard Configuration on Linux

SSHGuard actively monitors the /var/log/auth.log, /var/log/secure systemd journal, and syslog-ng log files for failed login attempts.

For each unsuccessful login attempt, the remote host is banned for a limited amount of time which, by default is set at 120 seconds. Thereafter, the ban time goes up by a factor of 1.5 with each successive failed login attempt.

The time the offending hosts are banned, in addition to other parameters is specified in the sshguard.conf file. You can access the configuration file using the vim editor as shown.

$ sudo vim /etc/sshguard/sshguard.conf

On RHEL-based distributions, the config file is located in the following path.

$ sudo vim /etc/sshguard.conf

Here is a sample of the configuration file when viewed from Ubuntu / Debian.

Let’s focus on the main option.

• The BACKEND directive points to the full path of the backend executable. In this example, we see that IPtables is set as the default firewall backend.
• The THRESHOLD directive blocks attackers when their attack score exceeds the specified value.
• The BLOCK_TIME option is the number of seconds that an attacker is blocked after every successive failed login attempt. By default, this is set to 120 after the first attempt. This increases with each successive failed login attempt.
• The DETECTION_TIME option refers to the time in seconds during which the attacker is registered or remembered by the system before their score is reset.
• The WHITELIST_file option point to the full path of the whitelist file that contains hosts which are not supposed to be blacklisted./li>

Step 3: Configure SSHGuard to Block SSH Brute Force Attacks

To ward off brute-force attacks, you need to configure on the following firewalls to work with sshguard.

Block SSH Attacks Using UFW

If you have UFW installed and enabled on your Ubuntu / Debian system, modify the /etc/ufw/before.rules file.

$ sudo vim etc/ufw/before.rules

Add the following lines just after the allow all on loopback section.

# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT

# hand off control for sshd to sshguard
:sshguard - [0:0]
-A ufw-before-input -p tcp --dport 22 -j sshguard

Save the file and restart UFW.

$ sudo systemctl restart ufw

Now attempt logging into the server from a different system with the wrong credentials and notice that you will be locked out for 120 seconds after the first failed login attempt.

You can verify this by checking the auth.log log file.

$ sudo tail -f  /var/log/auth.log

After the next failed log attempt, the block time increases to 240 seconds, then 480 seconds, then 960 seconds, and so on.

Block SSH Attacks Using Firewalld

If you are running firewalld, ensure that it is set up and enabled. Then execute the following command to enable sshguard on your preferred zone.

$ sudo firewall-cmd --permanent --zone=public --add-rich-rule="rule source ipset=sshguard4 drop"

To apply the changes, reload Firewalld and sshguard.

$ sudo firewall-cmd --reload
$ sudo systemctl restart sshguard

Then verify the rule as follows:

$ sudo firewall-cmd —-info-ipset=sshguard4

Block SSH Attacks Using Iptables

If you are still using Iptables, first, create a new chain rule for sshguard in Iptables to start blocking the bad guys.

# iptables -N sshguard

Next, update the VSTUP řetěz k přímému provozu sshguard a blokovat veškerý provoz od škodlivých stran.

# iptables -A INPUT -j sshguard

To block specific ports such as SSH, POP, a IMAP od zneuživatelů spustit příkaz :

# iptables -A INPUT -m multiport -p tcp --destination-ports 22,110,143 -j sshguard

And finally, save the rule for the changes to come into effect.

# iptables-save > /etc/iptables/iptables.rules

Step 4: How to Whitelist SSH Blocked Hosts

To whitelist a blocked host, simply specify its hostname or IP address in the whitelist file which is located in:

/etc/sshguard/whitelist - Ubuntu / Debian /etc/sshguard.whitelist - RHEL-založené distros

Thereafter, be sure to restart the sshguard démon a firewall backend pro změny použít.

In this guide, we have demonstrated how you can block SSH Bruteforce útoky pomocí SSHGuard démon na serverech Linux.

Source: https://www.tecmint.com/block-ssh-brute-force-attacks-sshguard/

========== VERZE 2 =============

SSHGuard je démon s otevřeným zdrojovým kódem, který chrání hostitele před útoky brutální síly. Toho se dosahuje monitorováním a agregací systémových protokolů, detekováním útoků a blokováním útočníků pomocí jednoho z backendů firewallu Linux: iptables, FirewallD, pf a ipfw.

SSHGuard, původně navržený tak, aby poskytoval další vrstvu ochrany pro službu OpenSSH, chrání také širokou škálu služeb, jako jsou Vsftpd a Postfix. Rozpozná několik formátů protokolu včetně souborů Syslog, Syslog-ng a raw log.

[Možná se vám také líbí: Jak zabezpečit a zabezpečit server OpenSSH]

SSHGuard je docela podobný Fail2ban pouze to, že je napsán v C (Fail2ban je psán v Pythonu), je lehčí a poskytuje méně funkcí.

V této příručce ukážeme, jak můžete nainstalovat a nakonfigurovat SSHGuard tak, aby blokoval útoky brutální síly SSH na vašem Linuxovém serveru.

Krok 1: Nainstalujte SSHGuard do Linuxu

Začneme instalací SSHGuard v Linuxu.

Nainstalujte SSHGuard na Debian / Ubuntu

Nejprve aktualizujte seznamy balíčků a poté nainstalujte SSHGuard z výchozích úložišť pomocí správce balíčků apt.

$ sudo apt update $ sudo apt install sshguard

Po instalaci se služba SSHGuard spustí automaticky a můžete to ověřit pomocí příkazu :

$ sudo systemctl status sshguard

Nainstalujte SSHGuard do systémů RHEL

Pro distribuce založené na RHEL, jako jsou CentOS, Rocky a AlmaLinux, začněte instalací úložiště EPEL, jak je uvedeno v níže uvedeném příkazu.

$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpmOR $ sudo dnf install epel-release

S EPEL na místě, pokračujte a nainstalujte SSHGuard pomocí správce balíků dnf.

$ sudo dnf install sshguard

Po instalaci spusťte a nastavte SSHGuard tak, aby se spustil při spuštění nebo restartu systému.

$ sudo systemctl start sshguard $ sudo systemctl enable sshguard

Nezapomeňte ověřit, že SSHGuard běží podle očekávání.

$ sudo systemctl status sshguard

Krok 2: Konfigurace SSHGuard v Linuxu

SSHGuard aktivně monitoruje deník /var/log/auth.log, / var/log/secure systemd a soubory syslog-ng pro neúspěšné pokusy o přihlášení.

Pro každý neúspěšný pokus o přihlášení je vzdálený hostitel zakázán na omezenou dobu, která je ve výchozím nastavení nastavena na 120 sekund. Poté doba zákazu stoupá o faktor 1,5 s každým následným neúspěšným pokusem o přihlášení.

Čas, kdy jsou urážliví hostitelé zakázáni, je kromě dalších parametrů uveden v souboru sshguard.conf. K konfiguračnímu souboru můžete přistupovat pomocí editoru vim, jak je znázorněno.

$ sudo vim /etc/sshguard/sshguard.conf

V distribucích založených na RHEL je konfigurační soubor umístěn v následující cestě.

$ sudo vim /etc/sshguard.conf

Zde je ukázka konfiguračního souboru při prohlížení z Ubuntu / Debian.

Zaměřme se na hlavní možnost.

Krok 3: Nakonfigurujte SSHGuard tak, aby blokoval útoky SSH Brute Force

Chcete-li odvrátit útoky brutální síly, musíte nakonfigurovat následující brány firewall, abyste mohli pracovat s sshguardem.

Blokovat útoky SSH pomocí UFW

Pokud máte v systému Ubuntu / Debian nainstalován a povolen UFW, upravte soubor /etc/ufw/before.rules.

$ sudo vim atd. / Ufw/before.rules

Přidejte následující řádky těsně za povolením vše v sekci zpětného smyčky.

# povolit vše na zpětném odkupu -A ufw-před vstupem -i lo -j ACCEPT-A ufw-před výstupem -o lo -j ACCEPT # ovládání před sshd na sshguard: sshguard - [0: 0] -A ufw-před vstupem -p tcp -dport 22 -j sshguard

Uložte soubor a restartujte UFW .

$ sudo systemctl restart ufw

Nyní se pokuste přihlásit na server z jiného systému se špatnými přihlašovacími údaji a všimněte si, že budete uzamčeni po dobu 120 sekund po prvním neúspěšném pokusu o přihlášení.

Můžete to ověřit kontrolou souboru protokolu auth.log.

$ sudo tail -f / var / log / auth.log

Po dalším neúspěšném pokusu o protokol se doba bloku zvýší na 240 sekund, poté na 480 sekund, poté na 960 sekund atd.

Blokovat útoky SSH pomocí Firewalld

Pokud používáte firewalld, ujistěte se, že je nastaven a povolen. Poté proveďte následující příkaz a povolte sshguard ve vaší preferované zóně.

$ sudo firewall-cmd --permanent --zone = public --add-rich-rule = "rule source ipset = sshguard4 drop"

Chcete-li použít změny, znovu načtěte Firewalld a sshguard.

$ sudo firewall-cmd --reload $ sudo systemctl restart sshguard

Poté pravidlo ověřte následovně:

$ sudo firewall-cmd --info-ipset = sshguard4

Blokovat útoky SSH pomocí iptables

Pokud stále používáte Iptables, nejprve vytvořte nové řetězové pravidlo pro sshguard v Iptables, abyste mohli začít blokovat padouchy.

# iptables -N sshguard

Dále aktualizujte řetězec INPUT tak, aby nasměroval provoz na sshguard a zablokoval veškerý provoz od škodlivých stran.

# iptables -A INPUT -j sshguard

Chcete-li zablokovat konkrétní porty, jako jsou SSH, POP a IMAP, od zneuživatelů, spusťte příkaz :

# iptables -A INPUT -m multiport -p tcp --destination-ports 22,110,143 -j sshguard

A konečně, uložte pravidlo, aby změny vstoupily v platnost.

# iptables-save > /etc/iptables/iptables.rules

Krok 4: Jak belošské SSH blokované hostitele

Chcete-li zablokovat blokovaného hostitele, jednoduše zadejte jeho název hostitele nebo adresu IP do souboru whitelist, který je umístěn v:

/ etc / sshguard / whitelist - Ubuntu / Debian /etc/sshguard.whitelist - RHEL-založené distros

Poté nezapomeňte restartovat démona sshguard a backend firewallu, aby se změny mohly použít.

V této příručce jsme ukázali, jak můžete blokovat útoky SSH Bruteforce pomocí démona SSHGuard na serverech Linux

Source: https://pythonlinux.com/2022/05/10/how-to-block-ssh-brute-force-attacks-using-sshguard/