/usr/ports/security/sshit 這個可以拿來擋惡意try ftp or ssh的IP 可以搭配pf ipfw等等 看板上沒有分享，自己用的時候有些問題 所以分享一下我的設定 ===============安裝============= #cd /usr/ports/security/sshit #make install clean ===============設定============= #vi /usr/local/etc/sshit.conf # We use pf as firewall on default FIREWALL_TYPE = ipfw <-- 我是用ipfw # Number of failed login attempts within time before we block MAX_COUNT = 3 <-- 失敗3次就鎖 # Time in seconds in which all failed login attempts must occur WITHIN_TIME = 60 <-- 60秒內失敗三次就鎖 # Time in seconds to block ip in firewall RESET_IP = 3600 <-- 3600秒後才解鎖 IPFW_CMD = /sbin/ipfw # Make sure you don't have any important rules here already IPFW_RULE_START = 50000 <-- ipfw rule的起始編號 IPFW_RULE_END = 59999 <-- ipfw rule的起始編號 #IPFW2_CMD = /sbin/ipfw 沒用到 我把他註解掉 #IPFW2_TABLE_NO = 0 ===============/etc/syslog.conf設定========== 這邊的話 有些小地方要注意 #vi /etc/syslog.conf auth.info;authpriv.info |exec /usr/local/sbin/sshit #新增這行就好 注意的地方 1. 在設定 /etc/syslog.conf 時，原本的 auto.info;authpriv.info 不要註解掉， 否則 /var/log/auth.log 會看不到記錄。 2. 新加入的 sshguard 設定要放在原本的上方。 (一開始我都放最後一行，結果都沒效果，不知道為什麼，辜狗了才知道 ，不過為什麼一定要這樣，我也不曉得) 3. 新的設定中的 |exec /usr/local/sbin/sshguard，在 | 和 exec 中間不能有空白。 參考:http://weblog.gilbert.tw/?p=250 //雖然他是用sshguard，但syslog.conf的地方可以參考 ===========重新啟動syslogd================== /etc/rc.d/syslogd restart 之後只要ipfw show就可以觀察到目前哪些IP是被block 或cat /var/log/auth.log 就會有sshit的訊息了 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 203.71.94.1 ※ 編輯: slinbody 來自: 203.71.94.1 (04/28 17:09)