Sto cercando di bloccare (rallentare) gli attacchi di forza bruta sul mio server SSH. Sto seguendo questa guida http://www.rackaid.com/resources/how-to-block-ssh-brute-force-attacks/ che sostanzialmente dice che devo solo inserire i 2 comandi di seguito.
sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
La mia porta sshd è 6622, quindi ho cambiato le voci da "22" a "6622" e ho inserito quei comandi. Poi ho provato a provare semplicemente i nuovi iptables. Sono andato su un altro PC e ho intenzionalmente inserito più volte la password di accesso errata. Sfortunatamente, le nuove regole non sembrano impedirmi di provare quanto voglio. Di seguito sono elencate le mie regole attuali. Che cosa sto facendo di sbagliato?
# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp dpt:6622 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source
tcp -- anywhere anywhere tcp dpt:6622 state NEW recent: SET name: DEFAULT side: source
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain LOGDROP (0 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level warning
DROP all -- anywhere anywhere
MaxStartups
potrebbe essere d'aiuto dal lato del demone?