<div dir="ltr">easiest way with centos board tools is iptable recent module ...<br><br>simply limit the amount of connections a host is allowed to the ssh port<br><br>iptables -N SSHSCAN<br>iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSHSCAN<br>
iptables -A SSHSCAN -m recent --set --name SSH<br>iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP<br><br>limits each host to 3 connections within 5 minutes. enough to make bots stop<br>
and still not too annoying for users that mistype their password 3x3 times<br><br><div class="gmail_quote">On Mon, Jul 21, 2008 at 10:43 PM, Bo Lynch <<a href="mailto:blynch@ameliaschools.com">blynch@ameliaschools.com</a>> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">just wanted to get some feedback from the community. Over the last few<br>
days I have noticed my web server and email box have attempted to ssh'd to<br>
using weird names like admin,appuser,nobody,etc.... None of these are<br>
valid users. I know that I can block sshd all together with iptables but<br>
that will not work for us. I did a little research on google and found<br>
programs like sshguard and sshdfilter. Just wanted to know if anyone had<br>
any experience with anything like these programs or have any other advice.<br>
I really appreciate it.<br>
<font color="#888888"><br>
--<br>
Bo Lynch<br>
<br>
_______________________________________________<br>
CentOS mailing list<br>
<a href="mailto:CentOS@centos.org">CentOS@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos" target="_blank">http://lists.centos.org/mailman/listinfo/centos</a><br>
</font></blockquote></div><br></div>