Re: zahlreiche SSH-login-Versuche unterbinden

To: Debian User German <debian-user-german@lists.debian.org>
Subject: Re: zahlreiche SSH-login-Versuche unterbinden
From: Christoph Anton Mitterer <cam@mathematica.scientia.net>
Date: Wed, 17 May 2006 23:01:07 +0200
Message-id: <[🔎] 446B8F13.3060905@mathematica.scientia.net>
In-reply-to: <[🔎] 20060517155630.GA4774@engelbracht.de>
References: <[🔎] 20060517155630.GA4774@engelbracht.de>

Thilo Engelbracht wrote:
> Hallo Liste!
>
> Auf meinem Linux-Server (Debian sarge) läuft u.a. ein SSH-Server, der
> Dienst lauscht auf Port 22.
> Bei der Analyse meiner Logfiles habe ich festgestellt, dass häufig
> probiert wurde, sich auf meinen Rechner per SSH einzuloggen.
>
> Hier ein kurzer (!) Auszug aus "/var/log/auth.log":
>
> May 16 15:31:28 serv sshd[4433]: Did not receive identification string from 61.175.248.131
> May 16 15:35:03 serv sshd[4458]: Illegal user staff from 61.175.248.131
> May 16 15:35:08 serv sshd[4460]: Illegal user sales from 61.175.248.131
> May 16 15:35:14 serv sshd[4462]: Illegal user recruit from 61.175.248.131
> May 16 15:35:20 serv sshd[4464]: Illegal user alias from 61.175.248.131
> May 16 15:35:26 serv sshd[4466]: Illegal user office from 61.175.248.131
> May 16 15:35:32 serv sshd[4468]: Illegal user samba from 61.175.248.131
> May 16 15:35:41 serv sshd[4470]: Illegal user tomcat from 61.175.248.131
> May 16 15:35:47 serv sshd[4472]: Illegal user webadmin from 61.175.248.131
> May 16 15:36:02 serv sshd[4476]: Illegal user virus from 61.175.248.131
> May 16 15:36:09 serv sshd[4478]: Illegal user cyrus from 61.175.248.131
> May 16 15:36:15 serv sshd[4480]: Illegal user oracle from 61.175.248.131
> May 16 15:36:24 serv sshd[4482]: Illegal user michael from 61.175.248.131
>
> und so weiter.
>   
Da bist Du nicht der einzige ;)


> Im Prinzip dürfte eigentlich wenig passieren, weil zur Zeit ein
> SSH-login ausschliesslich mit einem PrivateKey möglich ist.
>   
Hmm naja außer, dass Dein log immer größer wird und die Festplatte an
Lebensdauer verliert durch die Anzahl der Schreibzugriffe ;-) ...

> Trotzdem frage ich mich, wie ich solche Angriffsversuche unterbinden
> oder zumindest erschweren kann. Ist es möglich, die IP-Adresse
> aaa.bbb.ccc.ddd nach x fehlgeschlagenen SSH-login-Versuchen für z.B.
> 1 Minute zu sperren? Und falls ja: Wie?
>   
Hmm,.. prinzipiell natürlich mit einer Reihe an dynamischen Firewall
Techniken etc... aber ne einfache Lösung sind sachen wie fail2ban oder
denyhosts...

Chris.

Reply to:

References:
- zahlreiche SSH-login-Versuche unterbinden
  - From: Thilo Engelbracht <info@engelbracht.de>

Prev by Date: Re: nach apt-get upgrade nicht mehr bootbar
Next by Date: Re: [OT] news -> mailingliste?
Previous by thread: Re: zahlreiche SSH-login-Versuche unterbinden
Next by thread: Re: zahlreiche SSH-login-Versuche unterbinden
Index(es):
- Date
- Thread