Hallole, gegeben sei der Fall (hach, klingt das schön), dass auf dem Rechner 10.20.30.41 'ssh' läuft. Ein Angreifer würde aber normalerweise einen Rechner nach dem anderen durchprobieren. Vorher also 10.20.30.40 oder 10.20.30.42 auf 'ssh' testen. Man ahnt es schon, ich würde gerne diesen "Angriff" erkennen und noch schnell 'ssh' auf 10.20.30.41 für die entsprechende Quelle verbieten. Wobei nach einer gewissen Zeit die Quelle wieder erlaubt werden sollte. 'snort' und ähnliche Tools erkennen zwar Angriffe, aber außer mitschreiben oder Meldung verschicken haben die (anscheinend) keine anderen Möglichkeiten. Gesehen habe ich mal ein Script, das /var/log/secure belauscht und dann entsprechend handelt. Das wirkt aber nicht sehr ästhetisch auf mich. Gibt es da mittlerweise vielleicht was besseres. Vielleicht als neues "Target" für 'netfilter/iptables' oder so. Adele -- Andreas Burkhardt Linux +49 172 3026633 Training Cauerstraße 32 Consulting D-10587 Berlin http://burkhardt.IT Administration