Πώς να εγκαταστήσετε και να ρυθμίσετε τις παραμέτρους SSHGuard Block Brute Force Attacks

## Πώς να εγκαταστήσετε και να ρυθμίσετε το SSHGuard για να μπλοκάρετε τις επιθέσεις Brute Force ##

Εισαγωγή ###

Το SSHGuard είναι ένα εξαιρετικό εργαλείο ανοιχτού κώδικα για την προστασία των διακομιστών SSH από επιθέσεις ωμής βίας και επιθέσεις άρνησης υπηρεσίας παρακολουθώντας και φιλτράροντας τις εισερχόμενες συνδέσεις SSH. Μπορεί να παρακολουθεί αρχεία καταγραφής SSH, να αποκλείει διευθύνσεις IP μετά από υπέρβαση αποτυχιών ελέγχου ταυτότητας και να αποκλείει θύρες, να ανιχνεύει και να αποκλείει τη σάρωση θυρών, να προστατεύει τα κλειδιά SSH, τις επιθέσεις ωμής βίας με προσωρινή απαγόρευση των παραβατών και είναι εύκολο στη διαμόρφωση και τη χρήση.

Σε αυτόν τον οδηγό, θα μάθετε πώς να εγκαταστήσετε το SSHGuard στον διακομιστή σας και να το ρυθμίσετε ώστε να αποκλείει επιθέσεις ωμής βίας στον διακομιστή SSH σας. Θα εργαστούμε σε έναν διακομιστή CentOS 8.

Προαπαιτούμενα ##

Πρόσβαση SSH

- Θα πρέπει να έχετε έναν διακομιστή που εκτελεί το CentOS 8.

- Ένας χρήστης με δικαιώματα sudo ή root.

Ενημέρωση συστήματος

Πριν εγκαταστήσετε οποιοδήποτε πακέτο, ενημερώστε το σύστημά σας:

```μπας

sudo yum ενημέρωση -y

```

1. Εγκαταστήστε το SSHGuard ###

Για να εγκαταστήσετε το SSHGuard, χρησιμοποιήστε τον διαχειριστή πακέτων yum:

```μπας

sudo yum εγκατάσταση sshguard

```

2. Διαμόρφωση του SSHGuard ###

Μόλις εγκατασταθεί το SSHGuard, ανοίξτε το αρχείο διαμόρφωσής του:

```μπας

sudo vi /etc/sshguard/sshguard.conf

```

- Βρείτε την παρακάτω γραμμή και καταργήστε το σχόλιο:

```

ενεργοποιημένο=ναι

```

Αυτή η γραμμή επιτρέπει στο SSHGuard να ξεκινά αυτόματα κατά την εκκίνηση του συστήματος.

- Τώρα, διαμορφώστε τον μέγιστο αριθμό αποτυχημένων προσπαθειών σύνδεσης που επιτρέπονται προτού το SSHGuard αποκλείσει την προσβλητική διεύθυνση IP. Βρείτε την παρακάτω γραμμή:

```

max_ttempts=5

```

Από προεπιλογή, το SSHGuard επιτρέπει πέντε αποτυχημένες προσπάθειες σύνδεσης. Μπορείτε να αυξήσετε ή να μειώσετε αυτήν την τιμή σύμφωνα με τις απαιτήσεις ασφαλείας σας.

- Ορίστε το χρονικό διάστημα (σε λεπτά) που θα αποκλειστεί η προσβλητική διεύθυνση IP μετά την υπέρβαση του μέγιστου αριθμού προσπαθειών σύνδεσης. Βρείτε την παρακάτω γραμμή:

```

block_time=300

```

Ο προεπιλεγμένος χρόνος αποκλεισμού είναι 5 ώρες, ο οποίος μπορεί να προσαρμοστεί ανάλογα με τις ανάγκες.

- Το SSHGuard μπορεί να στέλνει ειδοποιήσεις μέσω email όταν οι διευθύνσεις IP είναι αποκλεισμένες. Για να ενεργοποιήσετε αυτήν τη δυνατότητα, βρείτε την ακόλουθη γραμμή και αφαιρέστε το σχόλιο:

```

email_alert_cmd=/usr/sbin/sshalert

```

Εάν δεν υπάρχει εντολή στο τέλος της γραμμής, καθορίστε μία. Για παράδειγμα:

```

email_alert_cmd=/usr/bin/mailx

```

Αντικαταστήστε την εντολή /usr/bin/mailx ή παρόμοια εντολή με τη διαδρομή προς το πρόγραμμα-πελάτη αλληλογραφίας σας.

- Από προεπιλογή, το SSHGuard ειδοποιεί μόνο τον χρήστη root. Για να στείλετε ειδοποιήσεις email σε άλλες διευθύνσεις ηλεκτρονικού ταχυδρομείου, προσθέστε τις ως εξής:

```

sshalert_recipients=root,user1@example.com,user2@example.com

```

- Βρείτε τη γραμμή:

```

sshalert_cmdline_options=""

```

- Τροποποιήστε το ώστε να περιλαμβάνει -r για λήψη email. Για παράδειγμα:

```

sshalert_cmdline_options="-r"

```

- Αποθηκεύστε και κλείστε το αρχείο sshguard.conf.

3. Ενεργοποιήστε το SSHGuard ###

Για να ενεργοποιήσετε το SSHGuard, εκτελέστε την ακόλουθη εντολή:

```μπας

sudo systemctl start sshguard

```

4. Ενεργοποιήστε το SSHGuard κατά την εκκίνηση συστήματος ###

Για να βεβαιωθείτε ότι το SSHGuard ξεκινά αυτόματα κατά την εκκίνηση του συστήματος, εκτελέστε την ακόλουθη εντολή:

```μπας

sudo systemctl ενεργοποιήστε το sshguard

```

5. Δοκιμάστε το SSHGuard ###

Για να ελέγξετε εάν το SSHGuard λειτουργεί σωστά, δοκιμάστε να συνδεθείτε στον διακομιστή SSH από άλλο μηχάνημα χρησιμοποιώντας λανθασμένο κωδικό πρόσβασης περισσότερες φορές από το όριο που έχει οριστεί στο sshguard.conf. Θα πρέπει να δείτε ένα μήνυμα σφάλματος παρόμοιο με το ακόλουθο:

```

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@

Ο λογαριασμός σας έχει κλειδωθεί. Δοκιμάστε ξανά σε xx λεπτά

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@

```

6. Ελέγξτε τις Αποκλεισμένες διευθύνσεις IP ###

Για να προβάλετε τη λίστα των αποκλεισμένων IP, χρησιμοποιήστε την ακόλουθη εντολή:

```μπας

sshguard-log -e 1

```

Αυτό θα εμφανίσει μια λίστα μπλοκαρισμένων IP και τον λόγο αποκλεισμού, μαζί με την ώρα που θα ξεμπλοκαριστούν.

7. Ξεμπλοκάρετε τις διευθύνσεις IP ###

Εάν θέλετε να ξεμπλοκάρετε μια διεύθυνση IP, μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή:

```μπας

sshguard-unblock <διεύθυνση IP>

```

Αντικαταστήστε τη <διεύθυνση IP> με τη διεύθυνση IP που θέλετε να ξεμπλοκάρετε.

Συμπέρασμα ###

Το SSHGuard είναι ένα ισχυρό εργαλείο για την προστασία των διακομιστών SSH από επιθέσεις ωμής βίας και επιθέσεις άρνησης υπηρεσίας. Ακολουθώντας τα βήματα σε αυτόν τον οδηγό, μπορείτε εύκολα να εγκαταστήσετε και να διαμορφώσετε το SSHGuard για να βελτιώσετε την ασφάλεια του διακομιστή σας.