Content
Dateianzeige für sshguard (3.4.0)
usr/share/doc/sshguard/sshguard.txt+----------+
| SSHGuard |
+----------+
SSHGuard can monitor one or more log files. Log messages are parsed,
line-by-line, for recognized patterns. If an attack, such as several login
failures within a few seconds, is detected, the offending IP is blocked.
Offenders are unblocked after a set interval, but can be semi-permanently
banned using the blacklist option.
SSHGuard recognizes attacks against:
- Apache
- Exim
- Gitea
- OpenSSH
- proftpd
- pure-ftpd
- Sendmail
https://www.sshguard.net/
WICHTIG: Bei einem Neustart des SSHGuard bzw. des Servers werden die geblockten
IP-Adressen freigegeben!
+-----------------------------+
| Das Menue im Setup-Programm |
+-----------------------------+
4. Service administration
x. SSHGuard administration
1. View documentation
2. Edit configuration
3. Advanced configuration file handling
4. Show status
5. Stop service
6. Start service
7. Restart Service
8. View Logfiles
0. Return
+------------------------------------------------+
| Die Konfigurationsdatei /etc/config.d/sshguard |
+------------------------------------------------+
START_SSHGUARD
Soll SSHGuard aktiviert werden.
Gueltige Werte: yes, no
Standardeinstellung: START_SSHGUARD='no'
SSHGUARD_DETECTION_TIME
Wie lange soll die Detektionzeit sein (in Sekunden).
Gueltige Werte: Zahl (>= 10)
Standardeinstellung: SSHGUARD_DETECTION_TIME='7200'
SSHGUARD_BLOCK_TIME
Wie lange soll die IP-Adresse gesperrt werden (in Sekunden).
Gueltige Werte: Zahl (>= 10)
Standardeinstellung: SSHGUARD_BLOCK_TIME='21600'
SSHGUARD_THRESHOLD
Ab welchem Punktestand soll die IP-Adresse für die SSHGUARD_BLOCK_TIME
gesperrt werden.
Gueltige Werte: Zahl (>= 10)
Standardeinstellung: SSHGUARD_THRESHOLD='30'
SSHGUARD_THRESHOLD_DENYLIST
Ab welchem Punktestand wird die IP-Adresse dauerhaft gesperrt.
Gueltige Werte: Zahl (>= 100)
Standardeinstellung: SSHGUARD_THRESHOLD_DENYLIST='200'
SSHGUARD_MONITOR_LOGFILE_N
Anzahl der Monitor LogFile Einträge.
Gueltige Werte: Zahl
Standardeinstellung: SSHGUARD_MONITOR_LOGFILE_N='1'
SSHGUARD_MONITOR_LOGFILE_%_ACTIVE
Soll das LogFile aktiviert sein.
Gueltige Werte: yes, no
Standardeinstellung: SSHGUARD_MONITOR_LOGFILE_%_ACTIVE='yes'
SSHGUARD_MONITOR_LOGFILE_%
Hier wird das LogFile mit Absoluter Pfad angegeben.
Gueltige Werte: ABS_PATH
Standardeinstellung: SSHGUARD_MONITOR_LOGFILE_%='/var/log/messages'
SSHGUARD_ALLOW_N
Anzahl der Allow Einträge.
Gueltige Werte: Zahl
Standardeinstellung: SSHGUARD_ALLOW_N='5'
SSHGUARD_ALLOW_%_ACTIVE
Soll das Allow aktiviert sein.
Gueltige Werte: yes, no
Standardeinstellung: SSHGUARD_ALLOW_%_ACTIVE='yes'
SSHGUARD_ALLOW_%
Dieser Eintrag wird niemals geblockt.
Gueltige Werte: Hostname, Domain, FQDN, IP-Address or Network
Standardeinstellung: SSHGUARD_ALLOW_%=''
+----------+
| Beispiel |
+----------+
SSHGUARD_DETECTION_TIME='7200'
SSHGUARD_BLOCK_TIME='43200'
SSHGUARD_THRESHOLD='30'
SSHGUARD_THRESHOLD_DENYLIST='120'
Wenn man 3 Loginversuche (= 30 „Punkte“) innerhalb von 2 Stunden (=7200 Sekunden)
hat, wird die IP-Adresse für 12 Stunden (=43200 Sekunden) blockiert. Und bei
einem Punktestand von 120 wird die IP-Adresse dauerhaft gesperrt.