Am 2004-11-22 08:49:00 schrieb(en) Patrick Cornelißen:
Andreas Kretschmer wrote:Da könntest Du den sshd auch über den (x)indetd starten, bzw., wahrscheinlich ist sshd eh über tcpwrapper gelinkt.Ich denke nicht, weil derjenige, mit dem ich den Server zusammen miete per t-online ins Netz geht und der sich bestimmt nicht freut, wenn ichDa ist es dann auch möglich/sinnvoller, hosts.allow/hosts.deny dafür zu nutzen.ihn aussperre ;-)Nee, das scheint mir zu restriktiv. Generell sollen Logins von aussen schon erlaubt sein. (Auch weil ich mich teilweise in stark wechselnden IP-Bereichen aufhalte) Die Ausnahme für meine IP sollte nur ein Notnagel sein, damit ich während eines Angriffs noch in den Rechner komme.Du verbietest erst mal alles und erlaubst dann das, was erlaubt ist. Mit LIMIT hier zu arbeiten ist Unfug. iptables -p TCP -s <Deine_IP> --dport 22 -j ACCEPT (*ungetestet*)
die ip des nervenden hosts kann man doch in eine iptables chain per script einfuegen.
die ip bekommt man mit ".. : spawn (/path/script %u %h)" vom wrapper (hosts.allow). wenn im auth.log dann "illegal user" oder "guest" auftaucht koennte man die betreffende IP per iptables rule aussperren - auf diese art erwischt man nur den richtigen. wenn es nicht eh schon eine moeglichkeit gibt, mit iptables den zeitraum der begrenzung festzulegen sollte man die chain hin und wieder saeubern.
LIMIT macht das hier ganz anders: es erlaubt (nach der von mir weiter oben geschrieben rule) maximal 2 anfragen direkt hintereinander (burst) und pro stunde max. 30 zugriffe (30/h aka 2/m). kommt ein brute force guessing ssh connect laesst iptables nur diese 2 anfragen vom sshd beantworten. danach ist fuer ~ eine minute schluss und das script des ratenden angreifers gibt inzwischen idR.auf.
mit erweiterter sicherheit hat das freilich nichts zu tun. dafuer hab ich die AllowUser in der sshd_config und gute passwoerter am system.
sl ritch.