Am 17.12.2014 um 21:46 schrieb Tobias Crefeld:
Am Wed, 17 Dec 2014 11:52:19 +0100 schrieb Bernhard Junk <linux@horrem.org>:
Wenn jemand versucht einzubrechen, bekomme ich die IP-Adresse mitgeteilt. Wie kann ich es regeln, dass wenn diese IP-Adresse dreimal mit falschem Passwort versucht hat einzubrechen, diese IP-Adresse dann zu sperren? Es muss doch dafür in der Firewall etwas aktiviert werden. Ich habe noch nicht gefunden, wo das aktiviert wird.
Reden wir von Shell-Zugang, also z.B. ssh?
Ich habe dort nach Möglichkeit eine Kombination aus Sperrung von Passwort-Authentifizierung (bzw. Reduzierung auf public-key-authentication) für sshd, Deaktivierung von root-logins für sshd und dem Paket denyhosts eingerichtet.
Letzteres sorgt dafür, dass automatisch einzelne IP-Adressen gesperrt werden - und je nach Konfiguration nach einiger Zeit wieder freigegeben werden. Also vermutlich, das was Du oben beschreibst. Meines Wissens werden danach allerdings alle tcp-Verbindungen von dieser source-IP gesperrt - müsste ich nochmal recherchieren.
Die erstgenannte Methode verhindert Passwort-Attacken. Der Angreifer müsste erst mal einen Private-Key erschleichen.
Die zweite Methode sorgt dafür, dass jemand erstmal einen normalen Shell-Account knacken muss, um dann in einem zweiten Schritt das root-Passwort zu ermitteln.
Gruß, Tobias.
Ich hatte früher auch ohne Ende einlog-Versuche auf SSH (der einzige Dienst, der von außen erreichbar ist). Neben der public-key-Authentifizierung lasse ich ssh auf einem willkürlich festgelegten Port hören, also nicht auf Port 22. Seitdem habe ich keine (geloggten) Attacken mehr. Das schreckt natürlich einen ernsthaften Angreifer nicht ab, aber bei einem Portscanning auf üblichen Ports wird mein Rechner dann nicht gefunden und angegriffen. Grüße, Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org