Re: Delay nach erfolglosem login
Richard Mittendorfer schrieb:
> die ip bekommt man mit ".. : spawn (/path/script %u %h)" vom wrapper
(hosts.allow). wenn im auth.log dann "illegal user" oder "guest"
auftaucht koennte man die betreffende IP per iptables rule aussperren
- auf diese art erwischt man nur den richtigen. wenn es nicht eh
schon eine moeglichkeit gibt, mit iptables den zeitraum der
begrenzung festzulegen sollte man die chain hin und wieder saeubern.
Das ist mir zu Heiss, weil ich nicht riskieren möchte mich aus versehen
mit einem Tippfehler in einer Zeile auszusperren ;-)
LIMIT macht das hier ganz anders: es erlaubt (nach der von mir weiter
oben geschrieben rule) maximal 2 anfragen direkt hintereinander
(burst) und pro stunde max. 30 zugriffe (30/h aka 2/m). kommt ein
brute force guessing ssh connect laesst iptables nur diese 2 anfragen
vom sshd beantworten. danach ist fuer ~ eine minute schluss und das
script des ratenden angreifers gibt inzwischen idR.auf.
Das ist mir bisher noch die attraktivste Lösung.
Also die folgende Zeile wäre richtig?
iptables -m limit --limit 30/h --limit-burst 2 -p 22 --protocol tcp --s
! 131.220.156.31
mit erweiterter sicherheit hat das freilich nichts zu tun. dafuer hab
ich die AllowUser in der sshd_config und gute passwoerter am system.
Das ist klar, Sicherheit erhöhe ich damit prinzipiell nicht, mir geht es
nur darum, diese Wörterbuch Atacken abzuwehren, weil sie mir die Logs
vollmüllen. Und auch mit AllowUser bringt bei einem Brute Force angriff
keine Sicherheit, wenn die nen Usernamen herausfinden.
--
Bye,
Patrick Cornelissen
http://www.p-c-software.de
ICQ:15885533
Reply to: