Am Montag, 6. März 2006 09:56 schrieb Matthias Keller:
Ich hab hier auch mal was gelesen von einer iptables zeile die Versuche loggt und nach dem xten blockt - mit dem nachteil wenn du dich vertippst wirst du auch ausgeschlossen...
Ich würde auch vorschlagen einen Highport zuverwenden... das hilft vorallem gegen die alltäglichen Script-Kiddie Angriffe schon mal sehr viel. Du kannst auch den SSHD bloß über die Externe Schnittstelle über einen Highport erreichbar machen, mittels SuSEfirewall2 (siehe Punkt 15 FW_REDIRECT). Außerdem gibt es eine ziemlich einfache Methode gegen die Brute-Force Angriffe: in '/etc/sysconfig/SuSEfirewall2' bei Punkt 25 FW_CUSTOMRULES="" auf FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" ändern. Anschließend folgende Regeln in '/etc/sysconfig/scripts/SuSEfirewall2-custom' unter fw_custom_after_antispoofing() {...} einfügen: fw_custom_after_antispoofing() { iptables -A input_ext -p tcp --dport 22 -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force " iptables -A input_ext -p tcp --dport 22 -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH -j DROP iptables -A input_ext -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT true } Anmerkung1: die 22 bei --dport ersetzt du durch deinen gewählten Highport. Anmerkung2: eigentlich könnte SUSE die Möglichkeit für diese Vorkehrung langsam mal standardmäßig in die SuSEfirewall2 aufnehmen... Dadurch werden nach 4 Verbindungsversuchen alle Anfragen von der jeweiligen IP-Adresse für 5 Minuten (300 Sekunden) gedroped. Verwendung von Zertifikaten anstelle von Passwords ist auch was feines, allerdings sollte man dann immer sein Zertifikat mit sich rumschleppen (USB-Stick oder so). Gruß, Jörg.