SSHGuardは、sshやその他のネットワークプロトコルのセキュリティを強化するために使用されるオープンソースデーモンです。さらに、ブルートフォース攻撃を防ぐために使用されます。システムログの実績を継続的に監視および保持し、継続的なログイン試行または悪意のあるアクティビティの追跡に役立ちます。このようなアクティビティを検出すると、pf、iptables、ipfwなどのファイアウォールバックエンドを使用してIPをすぐにブロックします。次に、設定された時間間隔の後にIPのブロックを解除します。生のログファイル、Syslog-ng、Syslogなどのいくつかのログ形式がSSHGuardでサポートされているだけでなく、sshを含むいくつかのサービスpostfix、Sendmail、vsftpdなどに追加のレイヤー保護を提供します。
このチュートリアルでは、SSHGuardをインストールし、Ubuntu20.04でブルートフォース攻撃を防ぐようにシステムを構成する方法を学習します。インストールから始めましょう。
SSHGuardのインストール
aptパッケージマネージャーからsshguardをインストールできます。ターミナルで次のインストールコマンドを実行するだけです。まず、aptを使用してパッケージをインストールする前に、常にパッケージ情報を更新する必要があります。
$ sudo apt update
$ sudo apt install sshguard
SSHGuardのインストールが成功したら、systemctlデーモンを使用してSSHGuardのステータスを確認できます。次の例のような出力が表示されます。
$ sudo systemctl status sshguard
UbuntuでのSSHGuardの構成
デフォルトのリモートホストの禁止期間は120秒で、ログインに失敗するたびに禁止時間が1.5倍になります。次のパスにあるSSHGuardsshguard.confファイルを構成できます。
$ sudo vim /etc/sshguard/sshguard.conf
上記の例でわかるように、デフォルト値を持つ多くのディレクティブがあります。いくつかのディレクティブとそれが実際に何のためにあるのかを強調しましょう。
- BACKENDという名前のディレクティブには、システムファイアウォールバックエンドのパスが含まれています。
- THRESHOLDという名前のディレクティブは、ユーザーがブロックされるまでの試行回数を示します。
- BLOCKE_TIMEディレクティブは、不正なログインが連続して試行された後、攻撃者が禁止されたままになる期間を決定します。
- DETECTION_TIMEディレクティブは、攻撃者が検出/記録される時間を決定します。
- WHITELIST_FILEディレクティブには、既知のホストのリストを含むファイルへのパスが含まれています。
次に、システムファイアウォールを試してみましょう。ブルートフォース攻撃をブロックするには、次の方法でファイアウォールを構成する必要があります。
$ sudo vim /etc/ufw/before.rules
次に、以下の例のように、開いているファイルに次のコード行を追加します。
:sshguard - [0:0]
-A ufw-before-input -p tcp --dport 22 -j sshguard
Code language: CSS (css)
次に、ファイルを書き込んで終了し、ファイアウォールを再起動します。
$ sudo systemctl restart ufw
すべてがセットアップされると、システムはブルートフォース攻撃を持続する準備が整います。
ブロックされたホストのホワイトリストへの登録
ホワイトリストにより、ブロックされたホストは制限なしにシステムに再ログインできます。ホワイトリストに登録するには、特定のホストが次の宛先にあるファイルでホストのIPを指定します。
$ sudo vim /etc/sshguard/whitelist
ここで、ホワイトリストファイルにIPを追加したら、SSHGuardデーモンとファイアウォールバックエンドを再起動して変更を適用します。
結論
このチュートリアルでは、SSHGuardをインストールする方法と、システムがブルートフォース攻撃に耐え、セキュリティの層を追加できるようにセキュリティソフトウェアを構成する方法を示しました。
もう1つの興味深い記事は次のとおりです。UbuntuLinuxスクリーンショットツールをインストールして使用する方法