Re: SSH-BruteForce-Attacken
On Mon, Aug 22, 2005 at 10:40:52AM +0200, Felix M. Palmen wrote:
Hi Felix,
> Mit dem recent Modul von netfilter ist das in etwa möglich, siehe die
> NOBF-Chain in meiner netfilter-Konfiguration unter
> <http://www.akk.org/~zorg/config/iptables>. Diese Chain wird für alle
> neuen Pakete an den SSH-Port angesprungen. Man beachte aber, dass
> iptables hier erwünschte Zugriffe nicht von denen der Scanner
> unterscheiden kann, 'hitcount' sollte also hinreichend groß bzw
> 'seconds' hinreichend groß sein um autorisierte Nutzer nicht zu stören.
ich habe mir das Script mal angeschaut, eigentlich ist es mit den
folgenden Zeilen ja getan, oder?
# NOBF (Chain für BF-geschützte Dienste):
iptables -N NOBF
iptables -N BFLOG
iptables -A NOBF -m recent --rcheck --name 'BF' --seconds 120 \
--hitcount 4 --rttl -j BFLOG
iptables -A BFLOG -m recent --update --name 'BFLOG' --seconds 30 -j RETURN
iptables -A BFLOG -m recent --set --name 'BFLOG' \
-j LOG --log-prefix 'Bruteforce: '
iptables -A NOBF -m recent --update --name 'BF' --seconds 120 \
--hitcount 4 --rttl -j LREJECT
iptables -A NOBF -m recent --set --name 'BF' -j ACCEPT
Nur was bedeuten die alle? Denn hitcount gibts in den manpages nicht.
Könntest du das kurz umreissen?
Dank und Gruß Stephan
--
http://my.opera.com/schmiste/affiliate/
Reply to: