Protéger un serveur avec SSHGuard

SSHGuard est un produit libre qui va permettre d’améliorer la sécurité d’un serveur en se basant sur les logs qu’il génère. Il a d’abord été conçu pour empêcher les attaques bruteforce sur SSH puis s’est ensuite généralisé à plusieurs services. Il est compatible avec plusieurs systèmes (La famille Debian, la Famille BSD, etc..). SSHGuard à un fonctionnement assez simple. D’abord il reçoit les logs des services surveillés en temps réel. Ensuite s’il s’aperçoit que telle adresse IP est la source d’une attaque ou d’une mauvaise utilisation du service surveillé il va écrire une règle dans le pare feu de la machine pour la bloquer. Cette adresse sera ensuite débloquée après un certain temps. Je vais ici détailler son installation et son paramétrage pour Ubuntu/Debian.

Installation et compilation:

cd /var/
wget "http://downloads.sourceforge.net/project/sshguard/sshguard/sshguard-1.4/sshguard-1.4.tar.bz2"
bzip2 -d sshguard-1.4.tar.bz2
tar -xf sshguard-1.4.tar
rm -rf sshguard-1.4.tar
mv sshguard*/ sshguard/
cd sshguard/
./configure --with-firewall=iptables

« iptables » parce qu’on travaille sous linux donc à vous d’adapter à votre système

make && make install

Il faut ensuite paramétrer l’interaction SSHGuard/IPTables:
On crée une nouvelle chaîne:

iptables -N sshguard

Surveiller les logs:

sshguard -l /chemin/du/log/ -l -

Et voilà SSHGuard surveille les logs et peut bloquer les IP suspectes !

(image)

Articles Similaires:

• Pour être tranquille sous Ubuntu: Moblock
• [Tuto]Centralisation et gestion des logs avec rsyslog et Loganalyzer
• [Tuto]Sauvegardez votre blog WordPress chez vous avec Debian 6.0, ProFTP et BackWPup
• Palm WebOs sous Ubuntu c'est facile !
• [Tuto]Mise en place d’un serveur de monitoring avec Nagios et Centreon