Hallo,
blockieren kannst Du es nicht, aber ich hab das so "gelöst":
1. nur bestimmte User (außer root) zulassen
2. MaxAuthtries=3 erlaubt nur 3 gleichzeitige Authorisations-Versuche
(sowas verlangsamt den Angriff)
3. der eingeloggt User befindet sich hinterher in einem chroot mit rbash
als shell (es können nur ca 4 oder 5 Befehle ausgeführt werden, loging,
logout, exit ...) -> viel spaß dem Angreifer :-)
4. als root kann man sich dann über einen tunnel auf einen lokal laufenden
sshd einloggen
5. scp-subsystem auf dem externen sshd abschalten
Man kann wohl auch noch einiges über iptables machen, das hab ich aber
jetzt nicht im Kopf.
Man könnte den sshd noch mit einem Zertifikat absichern. Ich habe aber
(leider) die Erfahrung gemacht das das über weite Strecken ( mehr als
3000km) nicht zuverlässig funktioniert.
Falls es eine Möglichkeit zum dynamischen blocken einer IP gibt würde mich
sowas auch mal interessieren.
Wobei dann die Wahrscheinlichkeit besteht das man mal den falschen
blockt....
Carl Tenschert
Hallo,
Was kann ich eigentlich gegen solche Angreifer tun (s.u.) , gibt es eine einfache Möglichkeit so etwas zu blocken ?
Oder wie sie die Rechtliche geschichte mit Anzeige usw. aus.
Mit freundlichem Gruß
Carl Tenschert
# kurzer Auschnitt /var/log/message, waren deutlich mehr versuche.
Mar 3 18:07:22 linux sshd[25924]: Invalid user sales from 202.68.195.73
Mar 3 18:07:25 linux sshd[25926]: Invalid user shop from 202.68.195.73 Mar 3 18:07:27 linux sshd[25928]: Invalid user shop from 202.68.195.73 Mar 3 18:07:29 linux sshd[25930]: Invalid user shopping from 202.68.195.73 Mar 3 18:07:32 linux sshd[25932]: Invalid user shop from 202.68.195.73 Mar 3 18:07:34 linux sshd[25934]: Invalid user sales from 202.68.195.73 Mar 3 18:07:36 linux sshd[25936]: Invalid user printer from 202.68.195.73 Mar 3 18:07:43 linux sshd[25942]: Invalid user ircd from 202.68.195.73 Mar 3 18:07:46 linux sshd[25944]: Invalid user www from 202.68.195.73 Mar 3 18:07:48 linux sshd[25946]: Invalid user www-data from 202.68.195.73 Mar 3 18:07:50 linux sshd[25948]: Invalid user apache from 202.68.195.73 Mar 3 18:07:55 linux sshd[25952]: Invalid user golf from 202.68.195.73 Mar 3 18:08:16 linux sshd[25976]: Invalid user usa from 202.68.195.73 Mar 3 18:08:19 linux sshd[25978]: Invalid user musiq from 202.68.195.73 Mar 3 18:08:21 linux sshd[25980]: Invalid user helena from 202.68.195.73 Mar 3 18:08:23 linux sshd[25982]: Invalid user administrator from 202.68.195.73 Mar 3 18:08:26 linux sshd[25984]: Invalid user ROOT from 202.68.195.73 Mar 3 18:07:36 linux sshd[25936]: Invalid user printer from 202.68.195.73
Mit freundlichen Grüßen Andreas Gegner