Quoting Bernhard Bühler
unsere Systeme mit offenem ssh-Port werden laufend mit allen erdenklichen Namen gescannt, bzw. wird versucht ein login zu erreichen.
Na und?
Ich empfinde es als sehr störend
Warum?
und überlege nach Abhilfemassnahmen.
Public Key Authentifizierung benutzen oder wenigstens auf sichere und ausreichend lange Passwörter achten. Am besten beides. Eventuell kannst Du auch per iptables den Adreßbereich beschränken, von dem aus man an den SSH-Port kommt.
Eine Idee wäre nach jedem erfolglosen ssh-login einen grösseren delay einzuschalten.
Womit man Dich dann wunderbar DoSen kann.
In dieser Zeit würden keine Anfragen mehr beantwortet. Eine solche Einstellmöglichkeit habe ich für Konsole-Logins bei Yast gefunden. Gibt es dies auch für ssh? Wie und wo ist es zu setzen?
Das ist keine gute Idee. Man braucht Dich dann nur noch mit falschen Anmeldedaten zuzumüllen - am besten auch noch von gespooften IPs aus - und schon könntest Du Deinen sshd genausogut gleich komplett abschalten.
Hat jemand eine andere / bessere Idee um diesen unerwünschten Anfragen entgegenzuwirken?
siehe oben. Eventuell kommt noch Verlegen des sshd auf einen anderen Port oder Port Knocking in Betracht, aber beides tendiert in Richtung "Security by Obscurity", was grundsätzlich als wirkungslos bis gefährlich zu betrachten ist. -- Erhard Schwenk Akkordeonjugend Baden-Württemberg - http://www.akkordeonjugend.de k-itx it-dienstleistungen - http://www.k-itx.net