Защищаем sshd от брута с помощью iptables.
Меня мучают последнее время сообщения в логах Linux от sshd типа Illegal user username from 128.129.130.131 и POSSIBLE BREAKIN ATTEMPT! и таких сообщений тьма.. они в принципе не столько страшные сколько раздражающие, особенно для админа который проверяет журнал messages.
Если Вас тоже достают сообщения Illegal user username from 128.129.130.131 и POSSIBLE BREAKIN ATTEMPT! в журналах messages, secure или syslog - то могу посоветовать очень красивое решение на основе iptables.
Следующие две строчки правил iptables спасут вас от флуда в логах.
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
Первая строчка добавляет (ключ –set) IP адрес с которого пришел новый (–state NEW) tcp запрос на порт 22 (–dport) в список recent.
Вторая строчка обновляет (–update) список recent, если IP уже в списке recent и прошло меньше 60 (–seconds) секунд с прошлого запроса. Если количество запросов с этого IP станет равно 4 (–hitcount) за 60 секунд, то пакет дропается.
Такие простые строчки уберегут Вас от головной боли и геморроя с забиванием логов всякими брут-ботами.