Jan Handwerker wrote:
Liebe Leute,
für mehrere Rechner, die aus dem Internet per ssh zu erreichen sind, fühle ich mich verantwortlich. Seit Ewigkeiten beobachte ich dabei, dass es regelmäßige Angriffe von außen gibt, die versuchen in die Rechner einzubrechen. In der /var/log/messages findet man dann hunderte Einträge, wo jemand von einer festen ip aus mit einer Usernamen/Passwort-Liste versucht, sich anzumelden. Meistens sind die ip-Adressen nicht einmal aufzulösen.
Soweit ich weiß, ist noch niemand bei uns eingedrungen. (Meine Hand würde ich dafür aber auch nicht ins Feuer legen.) Trotzdem wüsste ich gerne, was man tun kann, es diesen Leuten etwas schwerer zu machen. Zu meinen Ideen gehört, dass ssh Anfragen von hosts, die in den letzten x Minuten mehr als y Zugriffe erfolglos hatten, für z Minuten gar nicht erst beantwortet.
Frage: Kann ssh so etwas und ich muss es nur in der sshd_config richtig eintragen? Oder kann ich so etwas mit der SuSE-Firewall oder direkt mit iptables realisieren?
Ja, die SuseFirewall kann das reihenweise Durchtesten in kurzer Zeit abblocken. Dafür musst du halt eine Zeile mit in die Konfig aufnehmen. FW_SERVICES_REJECT_EXT="0/0,tcp,113" # Example: # Allow max three ssh connects per minute from the same IP address: # "0/0,tcp,22,,hitcount=3,blockseconds=60,recentname=ssh" # # The special value _rpc_ is recognized as protocol and means that dport is # interpreted as rpc service name. See FW_SERVICES_EXT_RPC for # details. # Ich verwende für den Zweck fail2ban, da auch auf FTP die Scriptkiddies ziemlich aktiv sind. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org