SSH 공격을 방어하기 위해 다음 방화벽 규칙을 추가했습니다.
iptables -N LOGNDROP
iptables -A LOGNDROP -j LOG --log-prefix "SSH attack! " --log-level 7
iptables -A LOGNDROP -j DROP
iptables -A INPUT -i eth0 -p tcp -m state --dport 22 --state NEW -m recent --set
iptables -A INPUT -i eth0 -p tcp -m state --dport 22 --state NEW -m recent --update --seconds 3600 --hitcount 4 -j LOGNDROP
성공적인 로그인 시도 후 해당 카운터를 재설정할 수 있습니까? 이 솔루션은 제대로 작동하지만 시간당 로그인 성공 횟수는 3회로 제한됩니다!
답변1
네, 그렇죠. 당신은 뭔가를 사용할 수 있습니다좋다로그를 처리하고 다음에서 IP 주소를 제거하는 failure2ban /proc/net/xt_recent/DEFAULT:
(분 단위로?) cronjob과 같은 것이 좋은 첫 번째 근사치가 될 것입니다.
for ip in $(sed -ne 's/^.*sshd.*Accepted.*from \([^ ]*\).*$/\1/p' /var/log/auth.log | sort -u); do echo -$ip > /proc/net/xt_recent/DEFAULT; done