Hallo Andreas, Andreas Pakulat, 17.05.2006 (d.m.y): > On 17.05.06 17:56:30, Thilo Engelbracht wrote: > > Auf meinem Linux-Server (Debian sarge) läuft u.a. ein SSH-Server, der > > Dienst lauscht auf Port 22. > > Bei der Analyse meiner Logfiles habe ich festgestellt, dass häufig > > probiert wurde, sich auf meinen Rechner per SSH einzuloggen. > > > > Hier ein kurzer (!) Auszug aus "/var/log/auth.log": > > > > Im Prinzip dürfte eigentlich wenig passieren, weil zur Zeit ein > > SSH-login ausschliesslich mit einem PrivateKey möglich ist. > > > > Trotzdem frage ich mich, wie ich solche Angriffsversuche unterbinden > > oder zumindest erschweren kann. Ist es möglich, die IP-Adresse > > aaa.bbb.ccc.ddd nach x fehlgeschlagenen SSH-login-Versuchen für z.B. > > 1 Minute zu sperren? Und falls ja: Wie? > > Das ist eine Moeglichkeit, die aber relativ schwierig zu implementieren > ist (AFAIK, habs noch nicht selbst gemacht) und ausserdem u.U. auch > Fehleranfaellig. > > Ein viel einfacherer Weg diesen Script-Kiddies den Spass zu verderben > ist den sshd einfach auf nen anderen Port zu legen, vorzugsweise >1024 > da ja auch noch andere Dienste auf Ports <1024 "standardmaessig" > lauschen. Ich hab seitdem keinerlei dieser "Angriffe" mehr. Das waere eine einfache Variante. Eine weitere bestuende darin, die Zugriffe auf den sshd nur bestimmten Rechnern bzw. Netzen zu gestatten, und zwar mittels Eintraegen in /etc/hosts.(allow|deny). Das ist die IMO wirklich einfachste Methode - die sich bei Bedarf natuerlich auch mit einem automatischen Blacklist-Skript kombinieren laesst. Gruss, Christian Schmidt -- Im Falle eines Durchfalls, ist Tempo wirklich alles.
Attachment:
signature.asc
Description: Digital signature