2008年7月11日 星期五

即時封鎖暴力 入侵 SSH

原程式出自Vixual 網路視野如何及時封鎖想要用「暴力法」以 SSH 入侵的使用者 參考連結
安裝節錄如下:
安裝步驟
1. 下載 block_ssh.pl,將檔案存放在 [/usr/bin],並將權限設為 755:
cd /usr/bin
wget http://www.vixual.net/download/source/block_ip/block_ssh_pl
mv block_ssh_pl block_ssh.pl
chmod 755 block_ssh.pl

2. 編輯 /etc/hosts.allow,加入:

sshd: ALL: spawn (/usr/bin/block_ssh.pl %c %d)

3. 這樣就完成了,如有必要,請自行修改 block_ssh.pl 裡相關的參數。

常用參數如下:
#記錄 ssh 連線的 LOG 檔,預設: /var/log/secure
$log_file = "/var/log/secure";

#於多久的時間內嘗試登入(秒),預設: 1 小時
$time_range = 1 * 60 * 60;

#於 $time_range 所設定的時間內,嘗試登入失敗多少次立即封鎖 IP,預設: 10 次
$drop_count = 10;

#寄件通知,預設收件者: root@localhost
$mail = 'root@localhost';

自行修改部分:
◎強化封鎖,完全封鎖惡意的來源
`iptables -A INPUT -p tcp -s $ip --dport 22 -j DROP`;改成
`/sbin/iptables -I INPUT -s $ip -j DROP`;

◎支援IPV6的系統修改
因為部份系統(CentOS 5.1)會在偵測到的IP前會帶IPV6的"::ffff:",所以必須修改掉,程式才可以正常運作
$ip = $ARGV[0]; 後,加入一條修改指令

$ip =~ s/::ffff://;

0 意見:

##EasyReadMore##