Re: zahlreiche SSH-login-Versuche unterbinden
Thilo Engelbracht wrote:
> Hallo Liste!
>
> Auf meinem Linux-Server (Debian sarge) läuft u.a. ein SSH-Server, der
> Dienst lauscht auf Port 22.
> Bei der Analyse meiner Logfiles habe ich festgestellt, dass häufig
> probiert wurde, sich auf meinen Rechner per SSH einzuloggen.
>
> Hier ein kurzer (!) Auszug aus "/var/log/auth.log":
>
> May 16 15:31:28 serv sshd[4433]: Did not receive identification string from 61.175.248.131
> May 16 15:35:03 serv sshd[4458]: Illegal user staff from 61.175.248.131
> May 16 15:35:08 serv sshd[4460]: Illegal user sales from 61.175.248.131
> May 16 15:35:14 serv sshd[4462]: Illegal user recruit from 61.175.248.131
> May 16 15:35:20 serv sshd[4464]: Illegal user alias from 61.175.248.131
> May 16 15:35:26 serv sshd[4466]: Illegal user office from 61.175.248.131
> May 16 15:35:32 serv sshd[4468]: Illegal user samba from 61.175.248.131
> May 16 15:35:41 serv sshd[4470]: Illegal user tomcat from 61.175.248.131
> May 16 15:35:47 serv sshd[4472]: Illegal user webadmin from 61.175.248.131
> May 16 15:36:02 serv sshd[4476]: Illegal user virus from 61.175.248.131
> May 16 15:36:09 serv sshd[4478]: Illegal user cyrus from 61.175.248.131
> May 16 15:36:15 serv sshd[4480]: Illegal user oracle from 61.175.248.131
> May 16 15:36:24 serv sshd[4482]: Illegal user michael from 61.175.248.131
>
> und so weiter.
>
Da bist Du nicht der einzige ;)
> Im Prinzip dürfte eigentlich wenig passieren, weil zur Zeit ein
> SSH-login ausschliesslich mit einem PrivateKey möglich ist.
>
Hmm naja außer, dass Dein log immer größer wird und die Festplatte an
Lebensdauer verliert durch die Anzahl der Schreibzugriffe ;-) ...
> Trotzdem frage ich mich, wie ich solche Angriffsversuche unterbinden
> oder zumindest erschweren kann. Ist es möglich, die IP-Adresse
> aaa.bbb.ccc.ddd nach x fehlgeschlagenen SSH-login-Versuchen für z.B.
> 1 Minute zu sperren? Und falls ja: Wie?
>
Hmm,.. prinzipiell natürlich mit einer Reihe an dynamischen Firewall
Techniken etc... aber ne einfache Lösung sind sachen wie fail2ban oder
denyhosts...
Chris.
Reply to: