Mailinglist Archive: opensuse-de (2429 mails)

< Previous Next >
Re: User-Scan SSH
  • From: Felix Nawroth <lists@xxxxxxxxxxxxxxxxx>
  • Date: Sun, 22 Jan 2006 12:25:49 +0100
  • Message-id: <43D36BBD.9020809@xxxxxxxxxxxxxxxxx>
evil-leeroy@xxxxxx schrieb:

> Was kann ich in so einem Moment machen, wenn ich selbst
> nur Zugriff über SSH habe und es daher wenig Sinn macht den
> sshd abzuklemmen?
> Kann ich quasi live das Script bzw. den Zugriff des potentiellen
> Eindringlings stoppen?


Hallo :-)

Es gibt einige Standard-Lösungen dafür, zum Beispiel das Script fail2ban
(http://sourceforge.net/projects/fail2ban), dass je nach Einstellung
nach einer gewissen Zahl fehlgeschlagener Logins die Quell-IP mittels
iptables blockt.
Es schwirren auch einige Beispiele für einfache iptables-Regeln rum, die
bieten aber (glaube ich) nicht so viele Optionen wie fail2ban.

Ich ignoriere solche Versuche normalerweise. Ob da ein paar Zeilen mehr
im Log stehen, ist mir egal. Solange root sich nicht per SSH anmelden
darf, Du keine allzu simplen oder naheliegenden Benutzernamen nimmst,
event. explizit mit "AllowUsers" die SSH-Benutzer in der sshd_config
festlegst, ist's eigentlich kein Problem. Wenn Du Ruhe haben willst,
kannst Du genauso gut den sshd auf einem anderen Port laufen lassen: Den
wenigsten dieser User-Scans geht ein Port-Scan voraus.

Schau mal ins Listenarchiv, das Thema wird häufiger angesprochen. Zum
Unterschied zwischen den beiden Meldungen kann ich Dir leider nichts sagen.

Grüße,
Felix

< Previous Next >
References