FreeBSD 9.0-RELEASE-p5 FreeBSD 9.0-RELEASE-p5 #10 amd64
sshguard-ipfw-1.5_3

Вылетает sshguard

В логах:
syslogd: Logging subprocess 70300 (exec /usr/local/sbin/sshguard -a 3 -b 10:/var/db/sshguard/blacklist -w /var/db/sshguard/whitelist) exited due to signal 11.
kernel: pid 64493 (sshguard), uid 0: exited on signal 11 (core dumped)

Настроен через syslog строчкой
auth.info;authpriv.info |exec /usr/local/sbin/sshguard -a 3 -b 10:/var/db/sshguard/blacklist -w /var/db/sshguard/whitelist

файлы есть права root rw и sshguard в них пишет

Больше в логах нечего, куда можно капнуть помогите?

Нет дело в том что у меня установлен фаервол ipfw и настроен. Да sshguard Должен добавлять туда привила и удалять их но он почему то глючит, сначала начинает нормально добавлять правила но потом через какоето время дохнет вот так

поетому и установлен sshguard-ipfw-1.5_3

Не знал спасибо, а как sshguard настроить через ipfw ?

k-nikewestvovikНе знал спасибо, а как sshguard настроить через ipfw ?
Вообще-то я об этом сразу вам писал. :)
Судя по руководству , нужно добавить правило с ID's от 55000 до 55050 разрешающее доступ по ssh. Если присутствует аналогичное правило ранее, его нужно прибить.

Да этот момент понятен. Во первых через syslog настроить все равно нужно, у меня там стоит строчка
auth.info;authpriv.info |exec /usr/local/sbin/sshguard -a 3 -b 10:/var/db/sshguard/blacklist -w /var/db/sshguard/whitelist

И на этом вся настройка заканчивается.

Что касаемо правила ipfw на ssh то это понятно что его передвинуть нужно, если не передвигать тупо будет пропускать через фаервол все равно забаниные Ip

Почему он падает потом вот так kernel: pid 64493 (sshguard), uid 0: exited on signal 11 (core dumped)
Может что то еще подкрутить надо

k-nikeЭто как в анекдоте: "вы либо трусы наденьте, либо крестик снимите".
Если провести аналогию, то можно сказать, что вы пытаетесь настройкой почтового сервера предоставить доступ к ssh.
Попробую еще раз объяснить.
Есть 2 приложения sshguard-ipfw и sshguard. 1-ое настраивается через фаервол ipfw, 2-ое - через syslog.
Эти 2 приложения друг с другом конфликтуют, их нельзя одновременно поставить. У вас стоит 1-ое приложение, которое настраивается на фаерволе и на нем рубит взломщиков. Оно не предназначено для настройки syslog. Если вы хотите мониторить ssh не на фаерволе, а через TCP wrapper, т.е. через настройку файла syslog, то вам нужно снести sshguard-ipfw и установить вместо него sshguard. Либо одно, либо другое!!!

http://vds-admin.ru/ssh/zashchita-ssh-ot-podbora-parolya
Ну вот инструкция и не одна она в инете, что не так то?

Да и что настраивать в ipfw то?
sshguard сам правила просто пихает туда, у меня точно также настроено для pf на другой машине через syslog, и все работает

Я так понимаю просто при добавлении любого сообщения в /var/log/auth.log sshguard стартует

Так я и не могу разобраться в чем причина, неужели никто помочь не может?

Ситуация выглядит след образом, после перезапуска syslog, sshguard работает нормально, блокирует пользователей и убирает их из фаервола, но вот странно после прошествии видимо толи дня толи нескольких дней начинает вываливать

pid 23124 (sshguard), uid 0: exited on signal 11 (core dumped)

Очень похоже что почему то sshguard запускается несколько раз подряд

May 27 11:29:14 online sshd[23106]: error: PAM: authentication error for root from xxx.ru
May 27 11:29:14 online syslogd: Logging subprocess 23109 (exec /usr/local/sbin/sshguard -a 3 -b 10:/var/db/sshguard/blacklist -w /var/db/sshguard/whitelist) exited due to signal 11.
May 27 11:29:14 online kernel: pid 23111 (sshguard), uid 0: exited on signal 11 (core dumped)
May 27 11:29:14 online kernel: pid 23109 (sshguard), uid 0: exited on signal 11 (core dumped)
May 27 11:29:14 online sshd[23106]: error: PAM: authentication error for root from xxx.ru
May 27 11:29:14 online sshd[23106]: error: PAM: authentication error for root from xxx.ru

что то не так сконфигурированно может быть в самом syslog.conf?

#auth.info;authpriv.info |exec /usr/local/sbin/sshguard
auth.info;authpriv.info |exec /usr/local/sbin/sshguard -a 3 -b 10:/var/db/sshguard/blacklist -w /var/db/sshguard/whitelist
*.err;kern.warning;auth.notice;mail.crit /dev/console
*.notice;authpriv.none;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
security.* /var/log/security
auth.info;authpriv.info /var/log/auth.log
mail.info /var/log/maillog
lpr.info /var/log/lpd-errs
ftp.info /var/log/xferlog
local0.* /var/log/postgresql.log
cron.* /var/log/cron
local4.* /var/log/squid/access.log
local7.* /var/log/dhcp.log
*.=debug /var/log/debug.log
*.emerg *
# uncomment this to log all writes to /dev/console to /var/log/console.log
#console.info /var/log/console.log
# uncomment this to enable logging of all log messages to /var/log/all.log
# touch /var/log/all.log and chmod it to mode 600 before it will work
#*.* /var/log/all.log
# uncomment this to enable logging to a remote loghost named loghost
#*.* @loghost
# uncomment these if you're running inn
# news.crit /var/log/news/news.crit
# news.err /var/log/news/news.err
# news.notice /var/log/news/news.notice
!ppp
*.* /var/log/ppp.log
#!postgres
#*.* /var/log/postgresql.log
!*

Народ помогите решить эту задачку, замучился уже