由于服务器开放着SSH协议,经常在互联网上会有一些莫名的“骇客”在扫描我服务器的22端口并试图登录,这给服务器安全带来了很多的隐患。如何保障SSH的安全,自然成为了我们管理员工作的重中之重。 -
BSD 的Ports系统收录了N多的 SSH保护软件,其中有denyhosts,sshit,sshguard,file2ban(ports中无此项)等,起初,我用denyhosts来 阻挡SSH的恶意登录,发现它是调用TCP wrapper来实现的,感觉上并不是太好。后来,无意间发现了SSHguard,它可以结合BSD系统内置的防火墙(IPFW、PF、IPFILTER)来过滤SSH登录,非常不错。实现过程如下: -
1)安装SSHguard -
# cd /usr/ports/security/sshguard-pf
# make install distclean
2)删除syslogd里的注释,启动SSHguard -
auth.info;authpriv.info |exec /usr/local/sbin/sshguard
3)重新加载syslogd -
# /etc/rc.d/syslogd reload
如看到以下信息,证明成功启动 -
Nov 20 08:00:01 test sshguard[54247]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan.
BSD 的Ports系统收录了N多的 SSH保护软件,其中有denyhosts,sshit,sshguard,file2ban(ports中无此项)等,起初,我用denyhosts来 阻挡SSH的恶意登录,发现它是调用TCP wrapper来实现的,感觉上并不是太好。后来,无意间发现了SSHguard,它可以结合BSD系统内置的防火墙(IPFW、PF、IPFILTER)来过滤SSH登录,非常不错。实现过程如下: -
1)安装SSHguard -
# cd /usr/ports/security/sshguard-pf
# make install distclean
2)删除syslogd里的注释,启动SSHguard -
auth.info;authpriv.info |exec /usr/local/sbin/sshguard
3)重新加载syslogd -
# /etc/rc.d/syslogd reload
如看到以下信息,证明成功启动 -
Nov 20 08:00:01 test sshguard[54247]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan.
