Jan Handwerker schrieb:

Liebe Leute,

für mehrere Rechner, die aus dem Internet per ssh zu erreichen sind, fühle ich mich verantwortlich. Seit Ewigkeiten beobachte ich dabei, dass es regelmäßige Angriffe von außen gibt, die versuchen in die Rechner einzubrechen. In der /var/log/messages findet man dann hunderte Einträge, wo jemand von einer festen ip aus mit einer Usernamen/Passwort-Liste versucht, sich anzumelden. Meistens sind die ip-Adressen nicht einmal aufzulösen.

Soweit ich weiß, ist noch niemand bei uns eingedrungen. (Meine Hand würde ich dafür aber auch nicht ins Feuer legen.) Trotzdem wüsste ich gerne, was man tun kann, es diesen Leuten etwas schwerer zu machen. Zu meinen Ideen gehört, dass ssh Anfragen von hosts, die in den letzten x Minuten mehr als y Zugriffe erfolglos hatten, für z Minuten gar nicht erst beantwortet.

Frage: Kann ssh so etwas und ich muss es nur in der sshd_config richtig eintragen? Oder kann ich so etwas mit der SuSE-Firewall oder direkt mit iptables realisieren?

bei mir läuft ein umgebautes pam_abl (im original klappt es mit ssh nicht wirklich) sowie pam_country (requests können zwar von aussen kommen, aber garantiert nicht aus cn, sg, hk ...) Im Gegensatz zu fail2ban werden Anfragen beantwortet, Passwörter angenommen, und abgelehnt. Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org