Am Samstag, 9. Februar 2008 08:43 schrieb Steffen Genkinger:
Hallo zusammen,
ich schau mir gerade mein /var/log/messages an und stelle fest, dass die Datei so langsam voll läuft:
---- schnipp ---- Feb 9 08:33:26 terra sshd[21452]: Invalid user student from 121.140.91.106 Feb 9 08:33:30 terra sshd[21455]: Invalid user guest from 116.125.60.214 Feb 9 08:33:32 terra sshd[21457]: Invalid user student from 121.140.91.106 Feb 9 08:33:36 terra sshd[21459]: Invalid user guest from 116.125.60.214 Feb 9 08:33:40 terra sshd[21461]: Invalid user student from 121.140.91.106 Feb 9 08:33:42 terra sshd[21463]: Invalid user guest from 116.125.60.214 Feb 9 08:33:47 terra sshd[21465]: Invalid user student from 121.140.91.106 --- schnapp ----
Im Abstand von 4-6 sec gibt es nun seit heut nacht Verbindungsversuche auf meine Maschine. Kann ich mich irgendwie dagegen wehren oder muss ich das einfach hinnehmen und zur Erhöhung der Sicherheit evtl. den SSH-Port verlegen? Auch wenn ich der SSH-Geschichte eigentlich vertraue finde ich das nicht sonderlich prickelnd.
Also: 1. gegen die Anfragen an deinen Port 22 kannst du genau .... GAR NICHTS machen (es sein denn, du kannst die jungs dazu überreden ihre Einbruchsversuche einzustellen) 2. Was du tun kannst, ist die Stelle zu bestimmen, bis zu der diese unerwünschten Requests vordringen können. In deinem Fall kommen die bis zum sshd und werden dort abgewiesen; du könntest es z.B. durch Firewall Regeln bereits im Network-stack passieren lassen. Da gibt die einfachen "einfach immer abweisen" Regeln aber auch Versuche, durch gezielte Verzögerung den Angreifer auszubremsen. Oder aber den sshd von aussen nicht mehr auf Port 22 sichtbar machen. (Meiner lauscht intern auf Port 22; ist aber von aussen auf einem ganz exotischen Port ansprechbar) Fakt ist, das du (sobald dein Rechner im "Netz" ist) diesen Angriffen insofern ausgesetzt bist, das deine "offizielle" IP von aussen IMMER attackiert wird. Andreas (der ansonsten die meisten connects von aussen bereits am externen Router (FritzBox) abblockt) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org