Jigish Gohil на openSUSE Lizards представил простой, но эффективный способ защиты от перебора паролей SSH. Правим /etc/sysconfig/SuSEfirewall2:
Здесь мы SSH не открываем:
FW_SERVICES_EXT_TCP="" FW_CONFIGURATIONS_EXT=""
А вот здесь добавляем такое правило:
FW_SERVICES_ACCEPT_EXT="0.0.0.0/0,tcp,22,,hitcount=3,blockseconds=60,recentname=ssh"
И перезапускаем фаер:
rcSuSEfirewall2 restart
Вот и всё! Теперь у злоумышленника есть только 3 попытки в минуту, после чего его коннекты будут блокироваться.
Работает в openSUSE и в SLES11. А вот в SLES 10 SP2 ещё (уже?) не работает 🙂 Интересно, что в конфиге на SLES11 расширенного описания полей нет, но скрипт всё равно работает.
SuSEfirewall мощная вещь – недавно разобрался с настройкой дополнительных хуков. А вобще разные случаи бывают, поэтому для предотвращения брута я все же предпочитаю использовать IDS (сам юзаю OSSEC)