SysFailure

Imprimer

sshdfilter

.

Test de sshdfilter

Pour ce test, nous supposons que l'interface à contrôler est lo (dans le fichier /etc/sshdfilterrc). Nous provoquons une connexion erronée :

ssh localhost -l alumni

Et nous vérifions que l'accès a été détecté et que le blocage est en place :

 # tail /var/log/secure
Jun 9 12:40:20 sshdfilt[2102]: Illegal user name, instant block of 127.0.0.1
Jun 9 12:40:20 sshd[2103]: Invalid user alumni from 127.0.0.1
# iptables -L SSHD
Chain SSHD (1 references)
target prot opt source destination
DROP tcp -- 127.0.0.1 0.0.0.0/0 tcp dpt:22

Il ne reste plus qu'à purger la chaîne SSHD afin de vous rendre l'accès local (s'il est nécessaire), et à modifier l'interface à contrôler dans /etc/sshdfilterrc.

Résultats

Sshdfilter génère quelques traces de ses activités. Les journaux sont considérablement abrégés de la disparition des traces d'échecs de connexions ssh, et l'on y voit de nouveaux messages comme :

 sshdfilt[2167]: No ssh id string from client, instant block of 61.129.45.47 
sshdfilt[2167]: Cancelled instant block of 202.155.200.154
sshdfilt[2167]: No ssh id string from client, instant block of 211.62.35.190

Les première et dernière lignes indiquent l'activation d'un filtre spécifique afin de bloquer les adresses IP en question. La ligne du milieu correspond au déblocage d'une adresse IP, une fois le délai maxblocktime écoulé.