Protéger un serveur avec SSHGuard

Tweet about this on Twitter1Share on Facebook0Share on Google+0Email this to someone

SSHGuard est un produit libre qui va permettre d’améliorer la sécurité d’un serveur en se basant sur les logs qu’il génère. Il a d’abord été conçu pour empêcher les attaques bruteforce sur SSH puis s’est ensuite généralisé à plusieurs services. Il est compatible avec plusieurs systèmes (La famille Debian, la Famille BSD, etc..). SSHGuard à un fonctionnement assez simple. D’abord il reçoit les logs des services surveillés en temps réel. Ensuite s’il s’aperçoit que telle adresse IP est la source d’une attaque ou d’une mauvaise utilisation du service surveillé il va écrire une règle dans le pare feu de la machine pour la bloquer. Cette adresse sera ensuite débloquée après un certain temps. Je vais ici détailler son installation et son paramétrage pour Ubuntu/Debian.

Installation et compilation:

cd /var/
wget "http://downloads.sourceforge.net/project/sshguard/sshguard/sshguard-1.4/sshguard-1.4.tar.bz2"
bzip2 -d sshguard-1.4.tar.bz2
tar -xf sshguard-1.4.tar
rm -rf sshguard-1.4.tar
mv sshguard*/ sshguard/
cd sshguard/
./configure --with-firewall=iptables

« iptables » parce qu’on travaille sous linux donc à vous d’adapter à votre système

make && make install

Il faut ensuite paramétrer l’interaction SSHGuard/IPTables:
On crée une nouvelle chaîne:

iptables -N sshguard

Surveiller les logs:

sshguard -l /chemin/du/log/ -l -

Et voilà SSHGuard surveille les logs et peut bloquer les IP suspectes !

(image)

Articles Similaires: