SSHによる総当たり攻撃
最近、別場所に覚書をあげたが、ここにも。
ものすごい量のアタックログです(汗。
portsからsecurity/bruteforceblocke を導入。
上記のportsに移動してmake install clean 実行。
・/etc/pf.confに以下の設定を追加。
table
persist file "/var/db/ssh-bruteforce"
block in log quick proto tcp fromto any port ssh
・/etc/syslog.confに以下の設定を追加。
auth.info;authpriv.info | exec /usr/local/sbin/bruteforceblocker
あとは/etc/rc.confに以下の設定を追加。
pf_enable="YES"
pflog_enable="YES"
syslogd_flags="-s -c"
・/etc/pf.confの再起動。
# pfctl -R -f /etc/pf.conf
・/etc/rc.d/syslogdの再起動。
# /etc/rc.d/syslogd restart