久しぶりに、ほとんどの人にとって、「何のことだかさっぱり...」な記事。

自宅サーバへの、bruteforce attack が多いので、security/bruteforceblocker を導入しました。

ports 入れて、/etc/rc.conf に
pf_enable="YES"
pflog_enable="YES"
syslogd_flags="-sc"
を設定。

/etc/pf.conf に
ext_if="fxp0"
table persist file "/var/db/ssh-bruteforce"
set loginterface $ext_if
scrub in all
block in log quick proto tcp from to any port ssh
を設定。

/etc/syslog.conf に
auth.info;authpriv.info | exec /usr/local/sbin/bruteforc
eblocker
を設定。(auth.info; authpriv.info のファシリティはデフォルトで authlog に書き込むので、これを変更する)

/var/db/ssh-bruteforce を touch し、/etc/rc.d の pf と pflog と syslogd を再起動。

これだけ。めっちゃ簡単。
で、効果の程は、というと...。

導入 4 日目(くらい？)で、/var/db/ssh-bruteforce が 3981 行。
(つまり侵入しようとしたクライアントが 3981 台)
世の中、悪者って沢山いるんですねぇ。

5000 行超えたら、傾向と対策を考えてみます。

つーか、母校 N 研のサーバとか、学科サーバとか、設定したほうがいいと思いますよ。

(2006/07/17設定不足を発見のため追記)