* Jörg Hermsdorf wrote on Mon, Mar 06, 2006 at 11:29 +0100:
fw_custom_after_antispoofing() { iptables -A input_ext -p tcp --dport 22 -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force " iptables -A input_ext -p tcp --dport 22 -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH -j DROP iptables -A input_ext -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
true }
Anmerkung1: die 22 bei --dport ersetzt du durch deinen gewählten Highport. Anmerkung2: eigentlich könnte SUSE die Möglichkeit für diese Vorkehrung langsam mal standardmäßig in die SuSEfirewall2 aufnehmen...
Dadurch werden nach 4 Verbindungsversuchen alle Anfragen von der jeweiligen IP-Adresse für 5 Minuten (300 Sekunden) gedroped.
Nur die IPs oder doch eher der Port für alle IPs? Im zweiten Fall wäre es natürlich ärgerlich, wenn man dann selbst nicht raufkommt, wenn ein Probe läuft...
Verwendung von Zertifikaten anstelle von Passwords ist auch was feines, allerdings sollte man dann immer sein Zertifikat mit sich rumschleppen (USB-Stick oder so).
Zertifikate? SSH-Keys, ja? oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel.