pfsense - bloquear ssh durante alguns minutos, apos 5 vezes login errado

[teixeira1985]

Oi,

Estou usando o pfsense como minha firewall e desde hà alguns dias têm tentado entrar nela com brute forcing, mas felizmente sem sucesso. o log gerado foi o seguinte:
..........
Aug 16 09:41:14 sshd[36196]: Failed password for root from 207.168.54.150 port 36444 ssh2
Aug 16 09:41:12 sshd[36188]: Failed password for root from 207.168.54.150 port 36358 ssh2
Aug 16 09:41:10 sshd[36176]: Failed password for root from 207.168.54.150 port 36273 ssh2
Aug 16 09:41:08 sshd[36167]: Failed password for root from 207.168.54.150 port 36194 ssh2
..........

Como eu pretendo continuar a ligar-me por ssh gostaria de saber como posso fazer para que o ssh permita tentar ligar 5 veze depois bloquear acesso por alguns minutos.

[cristina.fsilva]

tiago.

eu tambem uso o pfsense.. porem não sei se existe essa opção, sei que posso usar chaves de com autenticação..

[teixeira1985]

Ola Cristina,

Certamente que dara para fazer com scripting mas como n estou muito À vontade vou talvez fazer o seguinte:

- Desligo SSH e permito somente acesso por HTTPS
- Quando de precisar de mexer em ssh, ligo-o atraves do HTTPS

Julgo que resolve o problema em parte.

Grato pelo post,
Tiago Teixeira

[joseguilherme]

Saudações,
Dá pra vc colocar uma regra de limit no seu netfilter.
abraços.

[sergio]

Apenas mudando a porta padrão várias tentativas sumirão. Além disso libere no firewall apenas os IPs/Redes que podem acessa-lo.

[cristianff]

Eu utilizo essas regras para proteger:

#Bloquear ataques Brute Force SSH
/sbin/iptables -A INPUT -p tcp --syn --dport 22 -m recent --name sshattack --set
/sbin/iptables -A INPUT -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j LOG --log-prefix 'SSH REJECT: '
/sbin/iptables -A INPUT -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j REJECT --reject-with tcp-reset

#Bloquear ataques Brute Force SSH
/sbin/iptables -A FORWARD -p tcp --syn --dport 22 -m recent --name sshattack --set
/sbin/iptables -A FORWARD -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j LOG --log-prefix 'SSH REJECT: '
/sbin/iptables -A FORWARD -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j REJECT --reject-with tcp-reset

Ele fica mostrando os logs na tela, é bom pra você acompanhar as tentativas.
Abraço

[teixeira1985]

muito obrigado pela resposta tecnica e objectiva.
Obrigado também aos outros que postaram.