Hallo Tim danke für deine Antwort. Ich bin etwas erstaunt, dass meine Anfrage eine kleine Diskussion über für und wieder, usw. ausgelöst hat. Ich werde mir deine Lösung einmal in Betrieb nehmen und sehen wie es sich entwickelt. Ein weiterer guter Lösungsweg wäre noch s. Mail von Thomas Becker. Am Mittwoch, 28. Dezember 2005 10.43 schrieb Tim Daniel Schumacher:
Hallo Bernhard,
Am Mittwoch, 28. Dezember 2005 10:08 schrieb Bernhard Bühler:
unsere Systeme mit offenem ssh-Port werden laufend mit allen erdenklichen Namen gescannt, bzw. wird versucht ein login zu erreichen. Ich empfinde es als sehr störend und überlege nach Abhilfemassnahmen.
Hatte ich auch eine Zeit lang.
Eine Idee wäre nach jedem erfolglosen ssh-login einen grösseren delay einzuschalten. In dieser Zeit würden keine Anfragen mehr beantwortet. Eine solche Einstellmöglichkeit habe ich für Konsole-Logins bei Yast gefunden. Gibt es dies auch für ssh? Wie und wo ist es zu setzen?
Hat jemand eine andere / bessere Idee um diesen unerwünschten Anfragen entgegenzuwirken?
Ich benutze für dieses Problem fail2ban (http://fail2ban.sourceforge.net/). Dieses beobachtet die logfiles und wenn wer versucht übermässig viel einzuloggen kann man eine Aktion ausführen. Ich benutzt in dem Zusammenhang auch noch TARPIT für iptables (http://www.netfilter.org/patch-o-matic/pom-extra.html#pom-extra-TARPIT). So werden solche würmer/botnetze schön ausgebremst und ich hab meine Ruhe.
Gruß
Tim
Grüsse und ein gutes neues Jahr Bernhard