Kay Patzwald wrote:
Wie wäre es noch mit einer Spassbremse in /etc/sysconfig/scripts/SuSEfirewall-custom im Abschnitt fw_custom_after_antispoofing()
iptables -N sshd_bf iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSH --set iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j sshd_bf iptables -A sshd_bf -j LOG --log-prefix "sshd_brute_force " iptables -A sshd_bf -j DROP
Nachdem nun in der dritten Nacht in Folge jemand versucht hat, in den Server einzubrechen, interessiere ich mich doch für diese Spaßbremse. Kann jemand erläutern, was diese Befehle genau bedeuten?
Am besten, du ackerst dich mal durch ein paar Tutorials für iptables durch. Nach ein paar von den Dingern kommt so langsam das Begreifen. (^-^) Die erste Regel erstellt die neue Chain "sshd_bf". Die zweite Regel stellt einen Zähler für ssh Kontakte auf. Die dritte Regel leitet die Kontaktversuche in die Chain sshd_bf um, wenn der Zähler in den letzten 60 Sekunden 4 Hits bekommen hat. Die vierte Regel (für sshd_bf) logged den Kontaktversuch zum Syslog. Die fünfte Regel bricht den Kontakt ab. Wenn ein Script also eine Reihe von Namen und Passwörtern durchprobiert, dann ist bei dem vierten Versuch innerhalb von 60 Sekunden Feierabend. Alle ssh Kontaktversuche werden geblockt. Dies gilt übrigens auch für deine eigenen! Wenn du auf ssh angewiesen bist, dann reicht es für einen Denial of Service also aus, alle 10 Sekunden einen ssh Kontakt zu deiner Maschine zu öffnen. Vielleicht wäre es sinnvoll, statt dessen eine Regel zu setzen, die für eine begrenzte Zeit die IP blockt. Wenn die Maschine zwei Interfaces hat mit intern/extern könnte man diese Regel auch nur für das externe Interface setzen. Es gab mal eine Zeit, wo selbstständig reagierende Firewalls der Hit waren und diese automatische Regeln zum Sperren von IPs/Diensten hatten. Einige Spaßvögel haben dann Wege gefunden, das die Regeln dann plötzlich die IPs ihrer eigenen Nameserver oder ähnlich wichtige Server geblockt haben. Seitdem ist es etwas stiller geworden um solche Automatismen. Ich finde es gut, dass du vor dem aktiven Einsatz einer solchen Regel versuchst, die Funktion zu vestehen. Acker dich am besten mal durch die Manpage von iptables durch und versuche dann, das SuseFirewall2 Script zu verstehen. Wenn du das geschafft hast, hast du ein sehr hilfreiches Wissen erworben. (^-°) Sandy