| ## SSHGuard installeren en configureren om brute force-aanvallen te blokkeren ##
Introductie ###
SSHGuard is een uitstekende open source-tool voor het beschermen van SSH-servers tegen brute force-aanvallen en denial-of-service-aanvallen door inkomende SSH-verbindingen te monitoren en te filteren. Het kan SSH-logboeken monitoren, IP-adressen blokkeren na het overschrijden van authenticatiefouten en poorten blokkeren, poortscans detecteren en blokkeren, SSH-sleutels beschermen, brute-force-aanvallen door de overtreders tijdelijk te verbannen, en het is eenvoudig te configureren en te gebruiken.
In deze handleiding leert u hoe u SSHGuard op uw server installeert en configureert om brute force-aanvallen op uw SSH-server te blokkeren. We gaan werken aan een CentOS 8-server.
Vereisten ##
SSH-toegang
- U zou een server moeten hebben waarop CentOS 8 draait.
- Een gebruiker met sudo- of root-rechten.
Systeem bijwerken
Update uw systeem voordat u pakketten installeert:
``` bash
sudo yum-update -y
```
1. Installeer SSHGuard ###
Om SSHGuard te installeren, gebruik je de yum pakketbeheerder:
``` bash
sudo yum installeer sshguard
```
2. Configureer SSHGuard ###
Zodra SSHGuard is geïnstalleerd, opent u het configuratiebestand:
``` bash
sudo vi /etc/sshguard/sshguard.conf
```
- Zoek de volgende regel en verwijder het commentaar:
```
ingeschakeld=ja
```
Met deze regel kan SSHGuard automatisch starten bij het opstarten van het systeem.
- Configureer nu het maximale aantal mislukte inlogpogingen dat is toegestaan voordat SSHGuard het overtredende IP-adres blokkeert. Zoek de volgende regel:
```
max_pogingen=5
```
Standaard staat SSHGuard vijf mislukte inlogpogingen toe. U kunt deze waarde verhogen of verlagen afhankelijk van uw beveiligingsvereisten.
- Stel de hoeveelheid tijd (in minuten) in dat het overtredende IP-adres wordt geblokkeerd na overschrijding van het maximale aantal inlogpogingen. Zoek de volgende regel:
```
blok_tijd=300
```
De standaard bloktijd is 5 uur, deze kan indien nodig worden aangepast.
- SSHGuard kan e-mailmeldingen verzenden wanneer IP-adressen worden geblokkeerd. Om deze functie in te schakelen, zoekt u de volgende regel en verwijdert u de opmerkingen:
```
email_alert_cmd=/usr/sbin/sshalert
```
Als er geen opdracht aan het einde van de regel staat, geef er dan één op. Bijvoorbeeld:
```
email_alert_cmd=/usr/bin/mailx
```
Vervang /usr/bin/mailx of een soortgelijk commando door het pad naar uw e-mailclient.
- Standaard waarschuwt SSHGuard alleen de rootgebruiker. Als u e-mailwaarschuwingen naar andere e-mailadressen wilt verzenden, voegt u deze als volgt toe:
```
sshalert_recipients=root,[email protected],[email protected]
```
- Zoek de lijn:
```
sshalert_cmdline_options=""
```
- Wijzig het om -r op te nemen om e-mails te ontvangen. Bijvoorbeeld:
```
sshalert_cmdline_options ="-r"
```
- Bewaar en sluit het bestand sshguard.conf.
3. Schakel SSHGuard ### in
Om SSHGuard in te schakelen, voert u de volgende opdracht uit:
``` bash
sudo systemctl start sshguard
```
4. Schakel SSHGuard in bij systeemstart ###
Om ervoor te zorgen dat SSHGuard automatisch start bij het opstarten van het systeem, voert u de volgende opdracht uit:
``` bash
sudo systemctl schakel sshguard in
```
5. Test SSHGuard ###
Om te testen of SSHGuard correct werkt, probeert u vanaf een andere machine in te loggen op uw SSH-server met een onjuist wachtwoord vaker dan de limiet die is ingesteld in sshguard.conf. U zou een foutmelding moeten zien die lijkt op het volgende:
```
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
Uw account is vergrendeld. Probeer het over xx minuten opnieuw
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
```
6. Controleer geblokkeerde IP-adressen ###
Gebruik de volgende opdracht om de lijst met geblokkeerde IP-adressen te bekijken:
``` bash
sshguard-log -e 1
```
Hierdoor wordt een lijst met geblokkeerde IP-adressen weergegeven met de reden waarom ze zijn geblokkeerd, samen met het tijdstip waarop ze worden gedeblokkeerd.
7. Deblokkeer IP-adressen ###
Als u een IP-adres wilt deblokkeren, kunt u het volgende commando gebruiken:
``` bash
sshguard-unblock
```
Vervang door het IP-adres dat u wilt deblokkeren.
Conclusie ###
SSHGuard is een krachtig hulpmiddel voor het beschermen van SSH-servers tegen brute force-aanvallen en denial-of-service-aanvallen. Door de stappen in deze handleiding te volgen, kunt u SSHGuard eenvoudig installeren en configureren om de beveiliging van uw server te verbeteren. |
