SSHGuard es un demonio de código abierto que se utiliza para mejorar la seguridad de ssh y de otros protocolos de red. Además, se utiliza para prevenir ataques de fuerza bruta. Supervisará continuamente y mantendrá un registro de los registros del sistema, lo que ayuda a rastrear los intentos continuos de inicio de sesión o la actividad maliciosa. Una vez que detecta dicha actividad, bloqueará inmediatamente la IP utilizando backends de firewall como pf, iptables e ipfw. Luego desbloqueará la IP después de un intervalo de tiempo establecido. SSHGuard admite varios formatos de registro, como el archivo de registro sin procesar, Syslog-ng y Syslog, además de brindar protección de capa adicional a varios servicios postfix, Sendmail, vsftpd, etc., incluido ssh.
En este tutorial, aprenderá a instalar SSHGuard y configurar el sistema para evitar ataques de fuerza bruta en Ubuntu 20.04. Comencemos con la instalación.
Instalación de SSHGuard
Puede instalar sshguard desde el administrador de paquetes apt; simplemente necesita ejecutar el siguiente comando de instalación en su terminal. Primero, siempre necesitamos actualizar la información del paquete antes de instalar cualquier paquete usando apt.
$ sudo apt update $ sudo apt install sshguard
Después de una instalación exitosa de SSHGuard, puede verificar el estado de SSHGuard usando el demonio systemctl. Verá un resultado similar al siguiente ejemplo.
$ sudo systemctl status sshguard
Configuración de SSHGuard en Ubuntu
El período de prohibición de host remoto predeterminado es de 120 segundos y cada intento de inicio de sesión fallido sucesivo aumentará el tiempo de prohibición en un factor de 1,5. Puede configurar el archivo SSHGuard sshguard.conf que puede encontrar en la siguiente ruta.
$ sudo vim /etc/sshguard/sshguard.conf
Como puede ver en el ejemplo anterior, hay muchas directivas con su valor predeterminado. Resaltemos algunas directivas y para qué sirven realmente.
- La directiva denominada BACKEND contiene la ruta del servidor de seguridad del sistema.
- La directiva denominada THRESHOLD indica el número de intentos después de los cuales se bloqueará al usuario.
- La directiva BLOCKE_TIME determina la duración durante la cual el atacante permanecerá baneado después de sucesivos intentos de inicio de sesión incorrectos.
- La directiva DETECTION_TIME determina el tiempo durante el cual el atacante es detectado/registrado.
- La directiva WHITELIST_FILE contiene la ruta al archivo que contiene la lista de hosts conocidos.
Entonces, trabajemos con un firewall del sistema. Para bloquear el ataque de fuerza bruta, debe configurar el firewall de la siguiente manera.
$ sudo vim /etc/ufw/before.rules
Luego, agregue la siguiente línea de código en el archivo abierto como en el ejemplo que se muestra a continuación.
:sshguard - [0:0] -A ufw-before-input -p tcp --dport 22 -j sshguard
Ahora, escriba y cierre el archivo y reinicie el firewall.
$ sudo systemctl restart ufw
Una vez que todo esté configurado, su sistema estará listo para resistir los ataques de fuerza bruta.
Hosts bloqueados en la lista blanca
La lista blanca permitirá que los hosts bloqueados vuelvan a iniciar sesión en el sistema sin ninguna restricción. Para incluirlo en la lista blanca, el host específico luego especifica la IP del host en el archivo ubicado en el siguiente destino.
$ sudo vim /etc/sshguard/whitelist
Ahora, una vez que haya agregado la IP al archivo de la lista blanca, reinicie el demonio SSHGuard y el servidor de seguridad para aplicar los cambios.
Conclusión
En este tutorial, le mostré cómo instalar SSHGuard y cómo configurar el software de seguridad para que el sistema sea capaz de resistir el ataque de fuerza bruta y agregar una capa adicional de seguridad.