Bynario

Lo primero es descargar la aplicacion, ya sea desde la pagina web o via yum (yum install swatch).

Una vez que el paquete esta instalado, creamos el archivo donde le decimos a swatch que es lo que debe buscar y donde. Creamos el fichero swatchrc y lo colocamos en /etc. Dentro colocamos lo siquiente:

# Busqueda de intentos fallidos
watchfor /Failed password for/
exec “/usr/local/admin/bin/bad_user $1 $2 $3 $4 $5 $6 $7 $8 $9 $10 $11 $12 $13 $14 $15″

Ahora creamos el fichero /usr/local/admin/bin/bad_user con las ordenes pertinentes:

#! /bin/bash
#
IP=`echo $* | sed ’s/^.* from //’ | awk ‘{print $1}’ | sed ’s/::ffff://’`
ATTEMPTS=`grep $IP /var/log/secure | grep “Failed password for” | wc -l`

if [ $ATTEMPTS -gt 2 ]
then
route add $IP lo
MINUTES=`expr $ATTEMPTS - 2`
echo “route del $IP lo” | at now +$MINUTES minutes 2>&1 > /tmp/.bad_user.$$
(hostname ; echo $* ; echo “IP=$IP” ; echo “ATTEMPTS=$ATTEMPTS” ; \
echo “Blocking for $MINUTES minutes” ; \
cat /tmp/.bad_user.$$ ) | Mail -s “bad user” root
fi

rm -f /tmp/.bad_user.$$

Y listo. Creamos un fichero para lanzar el monitor y funcionando:

# /usr/bin/swatch –config-file=/etc/swatchrc –tail-file=/var/log/secure \
–awk-field-syntax –tail-args “-F” &

De esta forma cuando se encuentren dos fallos de acceso por SSH bloqueara la IP del que proceden durante un par de minutos.

Saludos