我对 SSHGuard 的设置/运作方式有疑问。
我想阻止每秒发生约 3 次的 ssh 暴力攻击。我在 Amazon 实例上,密码登录被禁用,并且 ssh 仅适用于公钥/私钥。
我想使用 SSHGuard 来阻止 IP,但我需要打开 SSH、HTTP、HTTPS 和 DNS。问题是,SSHGuard 是否能够识别并阻止(取决于日志文件)具有以下配置(取自文档)的攻击,或者这是否意味着 ssh 仍然打开?文档对我没有帮助,这就是我提问的原因。
iptables -N sshguard
# block whatever SSHGuard says be bad ...
iptables -A INPUT -j sshguard
# enable ssh, dns, http, https
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# and block everything else (default deny)
iptables -P INPUT DROP
提前致谢。
答案1
这是防火墙实用程序的配置iptables。它不知道 SSHGuard 做什么。
我看到端口是开放的(22、53、80、443)。
但是每个传入数据包都会首先进入sshguard表iptables。如果 sshguard 允许其通过,数据包可以到达 22、53、80 或 443 端口。如果数据包的目的地是其他端口,则会被丢弃。