Test de sshdfilter

Pour ce test, nous supposons que l'interface à contrôler est lo (dans le fichier /etc/sshdfilterrc). Nous provoquons une connexion erronée :

ssh localhost -l alumni

Et nous vérifions que l'accès a été détecté et que le blocage est en place :

 # tail /var/log/secure
 Jun  9 12:40:20 sshdfilt[2102]: Illegal user name, instant block of 127.0.0.1
 Jun  9 12:40:20 sshd[2103]: Invalid user alumni from 127.0.0.1
 # iptables -L SSHD
 Chain SSHD (1 references)
 target  prot opt source        destination
 DROP    tcp  --  127.0.0.1     0.0.0.0/0       tcp dpt:22

Il ne reste plus qu'à purger la chaîne SSHD afin de vous rendre l'accès local (s'il est nécessaire), et à modifier l'interface à contrôler dans /etc/sshdfilterrc.

Résultats

Sshdfilter génère quelques traces de ses activités. Les journaux sont considérablement abrégés de la disparition des traces d'échecs de connexions ssh, et l'on y voit de nouveaux messages comme :

 sshdfilt[2167]: No ssh id string from client, instant block of 61.129.45.47 
 sshdfilt[2167]: Cancelled instant block of 202.155.200.154 
 sshdfilt[2167]: No ssh id string from client, instant block of 211.62.35.190  

Les première et dernière lignes indiquent l'activation d'un filtre spécifique afin de bloquer les adresses IP en question. La ligne du milieu correspond au déblocage d'une adresse IP, une fois le délai maxblocktime écoulé.