Mailinglist Archive: opensuse-de (1951 mails)

[Erhard Schwenk <eschwenk@xxxxxx>]

Quoting Bernhard Bühler <bbuehler@xxxxxxxxxxxxxx>:

> unsere Systeme mit offenem ssh-Port werden laufend mit allen erdenklichen
> Namen gescannt, bzw. wird versucht ein login zu erreichen.

Na und?

> Ich empfinde es als sehr störend

Warum?

> und überlege nach Abhilfemassnahmen.

Public Key Authentifizierung benutzen oder wenigstens auf sichere und
ausreichend lange Passwörter achten. Am besten beides. Eventuell kannst Du
auch per iptables den Adreßbereich beschränken, von dem aus man an den
SSH-Port kommt.

> Eine Idee wäre nach jedem erfolglosen ssh-login einen grösseren delay
> einzuschalten.

Womit man Dich dann wunderbar DoSen kann.

> In dieser Zeit würden keine Anfragen mehr beantwortet. Eine
> solche Einstellmöglichkeit habe ich für Konsole-Logins bei Yast gefunden.
> Gibt es dies auch für ssh? Wie und wo ist es zu setzen?

Das ist keine gute Idee. Man braucht Dich dann nur noch mit falschen
Anmeldedaten zuzumüllen - am besten auch noch von gespooften IPs aus - und
schon könntest Du Deinen sshd genausogut gleich komplett abschalten.

> Hat jemand eine andere / bessere Idee um diesen unerwünschten Anfragen
> entgegenzuwirken?

siehe oben. Eventuell kommt noch Verlegen des sshd auf einen anderen Port oder
Port Knocking in Betracht, aber beides tendiert in Richtung "Security by
Obscurity", was grundsätzlich als wirkungslos bis gefährlich zu betrachten
ist.

--
Erhard Schwenk

Akkordeonjugend Baden-Württemberg - http://www.akkordeonjugend.de
k-itx it-dienstleistungen - http://www.k-itx.net