No Image

ブルートフォースアタック対策でインストールした sshguard がほぼ役立たずなので DenyHosts に切り替えてみた

sshguard、入れていた事すら忘れてしまったくらい役に立ってない・・・・
こっちの設定の問題かもしれないと思い、設定は見直したが全くおかしなところがない。
インストールしたサーバ全てにおいて役に立ってない(爆)という事態を受けて、急遽DenyHostsを検討。

ところが当方、ログ収集にSyslog-ngを使っていて、なおかつ「とても便利な」日付毎にディレクトリを生成するという方法で収集・管理しているため、そのままではDenyHostsが使えない。
(この辺、sshguardはsyslog-ng.confの中に設定を入れることで動作する「はず」だったんだが)

考えたのが次の方法

1.該当するログを/var/log/secureへシンボリックリンク
 例えば、該当ログが”/var/log/20080820/sshdlog”なら、これを”/var/log/secure”へ
 シンボリックリンク
 [bash]# ln -s /var/log/20080820/sshdlog /var/log/secure[/bash]
2.毎日1:00くらいにcronで
 シンボリックリンクの張替え(日付が変わるため)
 DenyHostsの再起動
 を行う

2.がなぜ0:00でないのか?というと、0:00ではまだリンク元のファイルができてない可能性があるから。
もしかすると4:00くらいでもいいかもしれない。

参考:ブルートフォースアタックがひどいのでDenyHostsを入れた[岩本隆史の日記帳]

Share this post