+----------+ | SSHGuard | +----------+ SSHGuard can monitor one or more log files. Log messages are parsed, line-by-line, for recognized patterns. If an attack, such as several login failures within a few seconds, is detected, the offending IP is blocked. Offenders are unblocked after a set interval, but can be semi-permanently banned using the blacklist option. SSHGuard recognizes attacks against: - Apache - Exim - Gitea - OpenSSH - proftpd - pure-ftpd - Sendmail https://www.sshguard.net/ WICHTIG: Bei einem Neustart des SSHGuard bzw. des Servers werden die geblockten IP-Adressen freigegeben! +-----------------------------+ | Das Menue im Setup-Programm | +-----------------------------+ 4. Service administration x. SSHGuard administration 1. View documentation 2. Edit configuration 3. Advanced configuration file handling 4. Show status 5. Stop service 6. Start service 7. Restart Service 8. View Logfiles 0. Return +------------------------------------------------+ | Die Konfigurationsdatei /etc/config.d/sshguard | +------------------------------------------------+ START_SSHGUARD Soll SSHGuard aktiviert werden. Gueltige Werte: yes, no Standardeinstellung: START_SSHGUARD='no' SSHGUARD_DETECTION_TIME Wie lange soll die Detektionzeit sein (in Sekunden). Gueltige Werte: Zahl (>= 10) Standardeinstellung: SSHGUARD_DETECTION_TIME='7200' SSHGUARD_BLOCK_TIME Wie lange soll die IP-Adresse gesperrt werden (in Sekunden). Gueltige Werte: Zahl (>= 10) Standardeinstellung: SSHGUARD_BLOCK_TIME='21600' SSHGUARD_THRESHOLD Ab welchem Punktestand soll die IP-Adresse für die SSHGUARD_BLOCK_TIME gesperrt werden. Gueltige Werte: Zahl (>= 10) Standardeinstellung: SSHGUARD_THRESHOLD='30' SSHGUARD_THRESHOLD_DENYLIST Ab welchem Punktestand wird die IP-Adresse dauerhaft gesperrt. Gueltige Werte: Zahl (>= 100) Standardeinstellung: SSHGUARD_THRESHOLD_DENYLIST='200' SSHGUARD_MONITOR_LOGFILE_N Anzahl der Monitor LogFile Einträge. Gueltige Werte: Zahl Standardeinstellung: SSHGUARD_MONITOR_LOGFILE_N='1' SSHGUARD_MONITOR_LOGFILE_%_ACTIVE Soll das LogFile aktiviert sein. Gueltige Werte: yes, no Standardeinstellung: SSHGUARD_MONITOR_LOGFILE_%_ACTIVE='yes' SSHGUARD_MONITOR_LOGFILE_% Hier wird das LogFile mit Absoluter Pfad angegeben. Gueltige Werte: ABS_PATH Standardeinstellung: SSHGUARD_MONITOR_LOGFILE_%='/var/log/messages' SSHGUARD_ALLOW_N Anzahl der Allow Einträge. Gueltige Werte: Zahl Standardeinstellung: SSHGUARD_ALLOW_N='5' SSHGUARD_ALLOW_%_ACTIVE Soll das Allow aktiviert sein. Gueltige Werte: yes, no Standardeinstellung: SSHGUARD_ALLOW_%_ACTIVE='yes' SSHGUARD_ALLOW_% Dieser Eintrag wird niemals geblockt. Gueltige Werte: Hostname, Domain, FQDN, IP-Address or Network Standardeinstellung: SSHGUARD_ALLOW_%='' +----------+ | Beispiel | +----------+ SSHGUARD_DETECTION_TIME='7200' SSHGUARD_BLOCK_TIME='43200' SSHGUARD_THRESHOLD='30' SSHGUARD_THRESHOLD_DENYLIST='120' Wenn man 3 Loginversuche (= 30 „Punkte“) innerhalb von 2 Stunden (=7200 Sekunden) hat, wird die IP-Adresse für 12 Stunden (=43200 Sekunden) blockiert. Und bei einem Punktestand von 120 wird die IP-Adresse dauerhaft gesperrt.