Re: zahlreiche SSH-login-Versuche unterbinden
On 17.05.06 17:56:30, Thilo Engelbracht wrote:
> Auf meinem Linux-Server (Debian sarge) läuft u.a. ein SSH-Server, der
> Dienst lauscht auf Port 22.
> Bei der Analyse meiner Logfiles habe ich festgestellt, dass häufig
> probiert wurde, sich auf meinen Rechner per SSH einzuloggen.
>
> Hier ein kurzer (!) Auszug aus "/var/log/auth.log":
>
> Im Prinzip dürfte eigentlich wenig passieren, weil zur Zeit ein
> SSH-login ausschliesslich mit einem PrivateKey möglich ist.
>
> Trotzdem frage ich mich, wie ich solche Angriffsversuche unterbinden
> oder zumindest erschweren kann. Ist es möglich, die IP-Adresse
> aaa.bbb.ccc.ddd nach x fehlgeschlagenen SSH-login-Versuchen für z.B.
> 1 Minute zu sperren? Und falls ja: Wie?
Das ist eine Moeglichkeit, die aber relativ schwierig zu implementieren
ist (AFAIK, habs noch nicht selbst gemacht) und ausserdem u.U. auch
Fehleranfaellig.
Ein viel einfacherer Weg diesen Script-Kiddies den Spass zu verderben
ist den sshd einfach auf nen anderen Port zu legen, vorzugsweise >1024
da ja auch noch andere Dienste auf Ports <1024 "standardmaessig"
lauschen. Ich hab seitdem keinerlei dieser "Angriffe" mehr.
Ist natuerlich kein adaequates Sicherheitsmittel gegen ernsthafte
Angriffe, einzig um diese nervtoetenden Logmeldungen zu unterbinden.
Andreas
--
You possess a mind not merely twisted, but actually sprained.
Reply to: