自動封鎖SSH暴力破解
2011-07-19 |
安裝
- 下載軟體:
http://www.pettingers.org/media/sshblackv281.tar.gz - 解壓縮
tar zxvf sshblackv281.tar.gz - 將sshblack目錄搬到適當的位置,如:
mv sshblack /usr/local/ - 將整個目錄的owner重新設定,如:
chown -R root.root /usr/local/sshblack - 執行iptables-setup.sh以設定iptables規則
- 修改sshblack.pl
參數 說明 my($LOG) = '/var/log/secure'; secure紀錄檔的位置 my($REASONS) = '(Failed password|Failed none)'; 當SSH登入失敗時,在secure紀錄檔產生的紀錄關鍵字(請自己登入失敗一次,再去看secure檔) my($MAXHITS) = 4; 登入失敗4次就通知iptables封鎖IP Address my($RELEASEDAYS) = 4; 封鎖4天後才解開 my($EMAILME) = 0; 有關鍵事件時要不要寄信通知您 my($NOTIFY) = 'root'; 記信給誰 - 執行sshblack.pl
- 試著登入失敗幾次,會發現已經被封鎖了
- 執行 iptables -L,可以看到被封鎖的IP Address
開機自動執行
將以下兩列寫入 /etc/rc.d/rc.local:
/usr/local/sshblack/iptables-setup.sh
/usr/local/sshblack/sshblack.pl
停止process
- 用ps看一下sshblack.pl的pid
- kill [PID]
設定白名單
- 修改sshblack.pl
- 修改
my($LOCALNET) = '^(?:127\.0\.0\.1|220\.50\.50|66\.249\.64\.68)';
用|將IP隔開。若要整個網段,可用:163\.17\.68,代表163.17.68.0整個網段。
