sshへの辞書攻撃がうざいので、対策をしました。
いろいろ調べてみると結構いろいろソフトはあるようです。
この中で、bruteblockをチョイス。
現在FreeBSDとipfwで合致するのがこれだったので。
で、説明書をと思ったのですが、
を呼んでもいまいちわかんない。
1.makeでインストールしろ、オプションなんてない。
2.コンフィグファイルを設定。見て大体わかったというかFreeBSDだと使える設定ファイルを
すでに用意してあったので、それを使用する。
(ちょっと違うところあるのでそれはauth.log見つつ変更うちの環境だと
May 19 10:28:01 hostname sshd[1119]: Invalid user aaron
from ???.???.???.???
ってなログが多くてうまく拾ってくれないことが多かった。)
3.Logがburuteblockに送られるようにする。
4.ipfwでtableで通信を遮断する設定を追加する。
(ここがはじめわからなかったが、ipfwにはtableという変数を使って設定することが可能。)
例にある。$(fwcmd) add deny ip from me to table\(1\)は、
ipfwがtable1に書いてある内容を遮断するということらしい。
いままで使用してなかったのでtableって何だろ?と思ってえらい調べました。
まあ、manに書いてあったのだけど、こういうときは真っ先にmanしないとだめですね。
ipfwには、tableが1~127くらい設定できてそれを変数として使用することが可能なようです。
コマンドで書くときは、括弧で囲んでそれをエンコードしないといけないので上のようになるらしい。
中ではipfw add deny ip from me to table(1)になる。
tableの番号は、コンフィグで書かれた番号なのでもし複数する場合は、変更する。
うまくいけば、複数回ログオン試行後にauth.logに以下のようなログが出力される
May 19 10:28:01 hostname bruteblock[863]: Adding 64.33.51.237
to the ipfw table 1
これで動作完了。
うるさいログが少しはマシになりそうです。