Am Donnerstag, 8. Februar 2007 13:53 schrieb Andre Tann:
Hallo Gruppe.
Ich mache mir Gedanken darüber, ob es sinnvoll sein könnte, den sshd mit fail2ban, denyhosts etc. vor Brute Force Attacken zu schützen. Es ist ja häufig zu lesen, daß dies die Sicherheit erhöhe.
Könnte mir jemand bitte erklären, warum das so ist? Statistik ! Ich bin der Meinung, daß das nicht stimmt, denn:
1. Angriffe mit falschen Paßwort kann der sshd selbst abwehren. Evtl. hat man Paßwörter sowieso abgeschaltet, und erlaubt nur Keys. Es gibt eine Wahscheinlichkeit Deine Kombination aus Name + Pwd zu knacken: sie wird kleiner (=besser) wenn kompliziert, und größer je einfacher die diese Kombination ist.
Bei einem brute force kannst Du nun die Zeit bis zum 'Knack' als Funktion der Zeit sehen: länger (= mehr Versuche), wenn diese Wahrsch. kleiner und umgekehrt. Mit fail2ban bzw denyhost, kannst Du nun genau diese Zeitspanne erhöhen und damit per Umkehrfunktion Deine Sicherheit erhöhen: Es reduziert die Versuchszeit, damit die Versuchzahl je Zeiteinheit und damit Deine Sicherheit je Zeiteinheit. Trotzdem bleibt die Gefahr eines lucky shuts, aber das ist eben alles Statistik seufz.
2. Um fail2ban zu installieren, brauche ich Python. Die Code-Basis des Systems verbreitert sich also ganz erheblich, dazu kommt dann noch fail2ban selbst.
auch das könnte man statisch erfassen und müßte es 'dazu'-rechnen.
3. Wenn es möglich ist, den sshd durch einen geschickten Verbindungsversuch zu überwinden, dann klappt das doch auch schon beim ersten Versuch, d.h. wenn fail2ban nach dem 5. Versuch sperrt, dann ist das zu spät.
hmm, das ist das Wesen der Statistik, den Lottotop können manche beim ersten Mal knacken, die meisten aber nie - ungerecht, aber eben Statistik. lg Calli
Ich bitte um Hinweise.
-- Andre Tann
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org