[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: zahlreiche SSH-login-Versuche unterbinden

On Wed, May 17, 2006 at 11:07:06PM +0200, Andreas Pakulat wrote:
> On 17.05.06 17:56:30, Thilo Engelbracht wrote:
> > Bei der Analyse meiner Logfiles habe ich festgestellt, dass häufig
> > probiert wurde, sich auf meinen Rechner per SSH einzuloggen.
> > Trotzdem frage ich mich, wie ich solche Angriffsversuche unterbinden
> > oder zumindest erschweren kann. Ist es möglich, die IP-Adresse
> > aaa.bbb.ccc.ddd nach x fehlgeschlagenen SSH-login-Versuchen für z.B.
> > 1 Minute zu sperren? Und falls ja: Wie?
> Das ist eine Moeglichkeit, die aber relativ schwierig zu implementieren
> ist (AFAIK, habs noch nicht selbst gemacht) und ausserdem u.U. auch
> Fehleranfaellig.

Wieso fehleranfällig?

$IPTABLES -N SSH_WHITELIST
$IPTABLES -A SSH_WHITELIST -s 192.168.1.0/24 -m recent --remove --name ssh -j ACCEPT
$IPTABLES -A INPUT -i ! eth1 -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh
$IPTABLES -A INPUT -i ! eth1 -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
$IPTABLES -A INPUT -i ! eth1 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --rttl --name ssh -m limit --limit 5/minute -j LOG --log-level info --log-prefix "SSH brute force: "
$IPTABLES -A INPUT -i ! eth1 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --rttl --name ssh -j REJECT --reject-with icmp-admin-prohibited
$IPTABLES -A INPUT -p TCP --dport ssh -j ACCEPT
    
ciao, Dirk
-- 
|      Akkuschrauber Kaufberatung and AEG GSM stuff       |
|   Visit my homepage:   http://www.nutrimatic.ping.de/   |
| FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de |
|    The "Ruhrgebiet", best place to live in Germany!     |
Reply to: