Hallo Walter, hallo Leute, Am Dienstag, 9. November 2004 10:18 schrieb Walter:
In letzter Zeit fallen mir auf meiner Box immer wieder folgende Eintraege im /var/log/messages auf:
Nov 8 17:46:02 myhost sshd[4735]: Illegal user www from ::ffff:210.233.67.132 [...] Da ist wohl ein Script Kid am "Start". Was gibt es für mittel gegen solche "Angriffe"? Ich benoetige den Port 22/SSH. D.h. SSH deaktivieren ist keine Option. SSH auf einen anderen Port legen, ist eine Option aber nicht schoen! Mit einem Port Scan waere der neue Port ja auch sichtbar.
Hat jemand einen kreativen Tip?
Brauchst Du unbedingt den Login per Passwort? Wenn nicht, stelle komplett auf SSH-Keys um und sperre passwortbasierte Logins. Hat übrigens gleich zwei Vorteile: - ein SSH-Key hat deutlich mehr bit als ein Passwort, ist also sicherer - Angreifer geben recht schnell auf, wenn sie kein Passwort eingeben dürfen ;-) Jezt gibt es erstmal eine FAQ-Premiere: Fragen im Entwurfsstadium sind Fragen, die noch nicht offiziell verfügbar und auch noch nicht verlinkt sind, weil der Text noch nicht fertig und/oder noch nicht nachgeprüft ist. Möglicherweise sind auch noch Fehler enthalten. Diese Erklärung soll Dich aber nicht davon abhalten, mal 8.7. Wie kann ich den Login ausschließlich mit SSH-Keys erlauben? http://suse-linux-faq.koehntopp.de/q/q-ssh-keyonly.html zu lesen ;-)
Da hätte ich gleich noch eine Frage: Welchen System Benutzer benoetigen den ueberhaupt eine Shell? at, bin, daemon,sshd, nobody (updatdb),stunnel
ausprobieren ;-) Außerdem: Diese Benutzer brauchen kein Passwort, also kann man mit einem ungültigen Eintrag in /etc/shadow den direkten Login verhindern. Gruß Christian Boltz -- [Linux-Performance] Man kann echt an allem in der Kiste sparen - aber bittebitte nicht an RAM, für den Gegenwert von einmal falsch parken kann man schon gut was rausholen. [Ratti in suse-linux]