Nach der Installation des sshguard-Ports ist noch folgendes notwendig, damit es auch wirklich Angreifer blockt:
Einrichtung der pf-Firewall unter FreeBSD: http://sshguard.sourceforge.net/doc/setup/blockingpf.html
Die Beschränkung des blockierten Verkehrs auf den ssh-Port 22 hat bei mir mit der Zeile
block in quick on $ext_if from <sshguard> to any port 22 label "ssh bruteforce"
nicht funktioniert, sondern nur die Variante mit der allgemeinen Blockierung allen Traffics mit dieser Adresse (also die Zeile oben ohne "to any port 22"). Es macht aber in meinen Augen eh keinen Sinn, nur den Port 22 zu schützen. Wenn jemand mehr oder weniger stümperhaft einzudringen versucht, dann sollte man ihm keine weiteren Versuche auf anderen Ports geben! Ich habe dann noch folgenden Alias für mich eingerichtet, damit ich schnell sehen kann, welche Adressen momentan blockiert sind:
alias sblock 'pfctl -Tshow -tsshguard'
Ich habe auch noch ein touch /etc/hosts.deny ausgeführt, weil sshguard teilweise das Fehlen dieser Datei angemeckert hatte, aber ich nehme an, daß sich diese Meldung nach dem Umstieg auf den sshguard-pf Port eigentlich eh erledigt hatte.
Whitelisting von Adressen: http://sshguard.sourceforge.net/doc/usage/whitelisting.html