Защита от brut force ssh с помощью

[ffsdmad]

Решил озаботить защитой от ssh брут форца, поставил sshguard
в сислог добавил (всё по ману)

Код: [Выделить]

auth.info;authpriv.info |/usr/sbin/sshguardперезапустил killall -HUP syslogd
создал правила

iptables -N sshguard
ip6tables -N sshguard
iptables -A INPUT -p tcp --dport 22 -j sshguard
ip6tables -A INPUT -p tcp --dport 22 -j sshguard

но эффекта не видно

Jul 17 13:46:46 ffsdmad sshguard[8159]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan.
Jul 17 13:46:54 ffsdmad sshguard[8159]: Matched IP address 217.16.16.212
Jul 17 13:47:19 ffsdmad sshguard[8159]: Matched IP address 217.16.16.212
Jul 17 13:47:48 ffsdmad sshguard[8159]: Got exit signal, flushing blocked addresses and exiting...
Jul 17 13:47:48 ffsdmad sshguard[8159]: Run command "/sbin/iptables -F sshguard ; /sbin/ip6tables -F sshguard": exited 768.
Jul 17 14:34:58 ffsdmad sshguard[9149]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan.
Jul 17 14:35:01 ffsdmad sshguard[9149]: Got exit signal, flushing blocked addresses and exiting...
Jul 17 14:35:01 ffsdmad sshguard[9149]: Run command "/sbin/iptables -F sshguard ; /sbin/ip6tables -F sshguard": exited 256.

Если запускать руками  то работает

tail -n0 -F /var/log/auth.log | strace /usr/sbin/sshguard

и в логах

Jul 17 14:45:44 ffsdmad sshguard[9340]: Got exit signal, flushing blocked addresses and exiting...
Jul 17 14:45:44 ffsdmad sshguard[9340]: Run command "/sbin/iptables -F sshguard ; /sbin/ip6tables -F sshguard": exited 0.
Jul 17 14:46:16 ffsdmad sshguard[9362]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan.
Jul 17 14:46:28 ffsdmad sshguard[9362]: Matched IP address 217.16.16.212
Jul 17 14:46:30 ffsdmad sshguard[9362]: Matched IP address 217.16.16.212
Jul 17 14:46:53 ffsdmad sshguard[9362]: Matched IP address 217.16.16.212
Jul 17 14:47:11 ffsdmad sshguard[9362]: Matched IP address 217.16.16.212
Jul 17 14:47:11 ffsdmad sshguard[9362]: Blocking 217.16.16.212: 4 failures over 43 seconds.
Jul 17 14:47:11 ffsdmad sshguard[9362]: Setting environment: SSHG_ADDR=217.16.16.212;SSHG_ADDRKIND=4;SSHG_SERVICE=10.
Jul 17 14:47:11 ffsdmad sshguard[9362]: Run command "case $SSHG_ADDRKIND in 4) exec /sbin/iptables -A sshguard -s $SSHG_ADDR -j DROP ;; 6) exec /sbin/ip6tables -A sshguard -s $SSHG_ADDR -j DROP ;; *) exit -2 ;; esac": exited 0.
Jul 17 14:48:06 ffsdmad sshguard[9362]: Got exit signal, flushing blocked addresses and exiting.

но ведь это не самый хороший подход
кто нить сталкивался? решали эту проблему?

[terrible_user]

В чем собственно вопрос, как защитить ssh или как настроить  sshguard ?

Судя по всему работа прога сводится к просмотру auth.log

тогда непонятны следующие моменты

в сислог добавил (всё по ману)

И что за  бесполезные 4 строки в ip
А как же настройки самого sshguard (если они конечно существуют)
По аналогии с denyhosts они должны быть и там должна быть возможность указать где брать лог.
То как ты сделал вполне логично.

[ffsdmad]

В чем собственно вопрос, как защитить ssh или как настроить  sshguard ?

Судя по всему работа прога сводится к просмотру auth.log

тогда непонятны следующие моменты

в сислог добавил (всё по ману)

И что за  бесполезные 4 строки в ip

настройка sshgeard описана в man
там используется механизм подключения внешнего обработчика в syslog
но он почему то не работает, все ссылки с обсуждений этой проблему ведут SF, который после смены движка не знает этих ссылок
проблема в том, что сислог не подхватывает этот фильтр

Код: [Выделить]

auth.info;authpriv.info |/usr/sbin/sshguard
или
auth.info;authpriv.info |exec /usr/sbin/sshguard

хочу отметить, что sshguard не имеет файла настроек, только через параметры, да больше и не нужно
если запускать его руками, то программа работает, но я хочу привязать её к сислогу, как это и рекомендуют разработчики