SSH防止扫描用户密码
随着互联网Unix/Linux的服务器增加,黑客的入侵对象也从Windows转向Unix/Linux阵营了。Unix下最常用的管理软件SSH,没有限制一个IP输入错多少次密码之后就不可以再去尝试。如果想实现这个功能,可以通过Sshguard来实现。Sshguard可以与Pf,IPFW,netfilter/iptables等几个软件结合来实现输入密码错误多次之后禁止该IP再访问服务器的SSH端口。
Sshguard在FreeBSD与Pf结合的安装方法如下:
- cd /usr/ports/security/sshguard-pf
- make install clean
安装好之后,只要简单地配置一下Pf就行了。
在/etc/pf.conf加入以下内容:
- table <sshguard> persist
- block in quick on $ext_if proto tcp from <sshguard> to any port 22 label "ssh bruteforce"
重载Pf的规则
- pfctl -f /etc/pf.conf
查看被Sshguard禁止访问的IP
- pfctl -Tshow -tsshguard