Trucs:Configurer sshdfilter sur une Mandriva2008.0 pour qu'il travaille avec shorewall comme pare-feu

Configurer sshdfilter sur une Mandriva2008.0 pour qu'il travaille avec shorewall comme pare-feu

L'outil sshdfilter permet de réagir en temps réel aux attaques en force brute sur le serveur sshd. Après un certain nombre de refus de connexion, l'adresse ip de l'attaquant est bloquée par le pare-feu pour une période définie.

La détection est faite par une analyse en continu les messages de sshd. Les réactions sont l'envoi de consignes de blocage d'adresses ip au pare-feu. L'outil sshdfilter est construit à la base pour travailler avec le pare-feu iptables, mais sur la Mandriva2008.0 le pare-feu standard est shorewall.

1 Modifier /etc/sysconfig/sshd (cette opération aurait du être faite par le script d'installation du paquetage sshdfilter) SSHD="/usr/sbin/sshdfilter"

2 Vérifier/modifier les parametres suivants dans /etc/sshdfilterrc firewalladd='shorewall drop $ip' firewalldel='shorewall allow $ip' logsource='STDIN' debug=0

3 Relancer le service sshd # service sshd restart

C'est fini ! Lire le fichier /etc/sshdfilterrc pour affiner les réglages si ça vous dit.

Pour lister les adresses bloquées # shorewall show dynamic

Pour débloquer toutes les adresses (relance du pare-feu) # service shorewall restart

Attention : les messages de sshd n'apparaissent plus dans /var/log/messages mais dans /var/log/auth.log . Les messages relatifs à la chaine SSHD sont issus de commandes "en dur" dans sshdfilter, lesquelles servent à commander iptables ; ces erreurs sont sans conséquence.