sshdfilter
Test de sshdfilter
Pour ce test, nous supposons que l'interface à contrôler est lo (dans le fichier /etc/sshdfilterrc). Nous provoquons une connexion erronée :
ssh localhost -l alumni
Et nous vérifions que l'accès a été détecté et que le blocage est en place :
# tail /var/log/secure
Jun 9 12:40:20 sshdfilt[2102]: Illegal user name, instant block of 127.0.0.1
Jun 9 12:40:20 sshd[2103]: Invalid user alumni from 127.0.0.1
# iptables -L SSHD
Chain SSHD (1 references)
target prot opt source destination
DROP tcp -- 127.0.0.1 0.0.0.0/0 tcp dpt:22
Il ne reste plus qu'à purger la chaîne SSHD afin de vous rendre l'accès local (s'il est nécessaire), et à modifier l'interface à contrôler dans /etc/sshdfilterrc.
Résultats
Sshdfilter génère quelques traces de ses activités. Les journaux sont considérablement abrégés de la disparition des traces d'échecs de connexions ssh, et l'on y voit de nouveaux messages comme :
sshdfilt[2167]: No ssh id string from client, instant block of 61.129.45.47
sshdfilt[2167]: Cancelled instant block of 202.155.200.154
sshdfilt[2167]: No ssh id string from client, instant block of 211.62.35.190
Les première et dernière lignes indiquent l'activation d'un filtre spécifique afin de bloquer les adresses IP en question. La ligne du milieu correspond au déblocage d'une adresse IP, une fois le délai maxblocktime écoulé.