Re: zahlreiche SSH-login-Versuche unterbinden

To: debian-user-german@lists.debian.org
Subject: Re: zahlreiche SSH-login-Versuche unterbinden
From: Dirk Ullrich <du4unix@web.de>
Date: Thu, 18 May 2006 17:00:24 +0200
Message-id: <[🔎] 306514587@web.de>

Von: Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de>
> Hallo Andreas,
> 
> Andreas Pakulat, 17.05.2006 (d.m.y):
> 
> > On 17.05.06 17:56:30, Thilo Engelbracht wrote:
> > > Auf meinem Linux-Server (Debian sarge) läuft u.a. ein SSH-Server, der
> > > Dienst lauscht auf Port 22.
> > > Bei der Analyse meiner Logfiles habe ich festgestellt, dass häufig
> > > probiert wurde, sich auf meinen Rechner per SSH einzuloggen.
> > > 
> > > Hier ein kurzer (!) Auszug aus "/var/log/auth.log":
> > > 
> > > Im Prinzip dürfte eigentlich wenig passieren, weil zur Zeit ein
> > > SSH-login ausschliesslich mit einem PrivateKey möglich ist.
> > > 
> > > Trotzdem frage ich mich, wie ich solche Angriffsversuche unterbinden
> > > oder zumindest erschweren kann. Ist es möglich, die IP-Adresse
> > > aaa.bbb.ccc.ddd nach x fehlgeschlagenen SSH-login-Versuchen für z.B.
> > > 1 Minute zu sperren? Und falls ja: Wie?
> > 
> > Das ist eine Moeglichkeit, die aber relativ schwierig zu implementieren
> > ist (AFAIK, habs noch nicht selbst gemacht) und ausserdem u.U. auch
> > Fehleranfaellig.
> > 
> > Ein viel einfacherer Weg diesen Script-Kiddies den Spass zu verderben
> > ist den sshd einfach auf nen anderen Port zu legen, vorzugsweise >1024
> > da ja auch noch andere Dienste auf Ports <1024 "standardmaessig"
> > lauschen. Ich hab seitdem keinerlei dieser "Angriffe" mehr.
> 
> Das waere eine einfache Variante.
> Eine weitere bestuende darin, die Zugriffe auf den sshd nur bestimmten
> Rechnern bzw. Netzen zu gestatten, und zwar mittels Eintraegen in
> /etc/hosts.(allow|deny).
> Das ist die IMO wirklich einfachste Methode - die sich bei Bedarf
> natuerlich auch mit einem automatischen Blacklist-Skript kombinieren
> laesst.
> 
> Gruss,
> Christian Schmidt
> 

Ich halte es für keine gute Idee, irgendeinen Port dauerhaft für SSH
offenzulassen -- zumindest für eine von außen erreichbare Maschine.
Ich habe bisher 2 Möglichkeiten benutzt, um das zu umgehen:
1. SSH-Port öffnet sich erst nach Anklopfen -- also Portkncking.
2. sshd läuft auf eine Maschine hinter der Firewall, und auf diese
    Maschine wird über eine VPN-Lösung zugegriffen.

Dirk
_______________________________________________________________
SMS schreiben mit WEB.DE FreeMail - einfach, schnell und
kostenguenstig. Jetzt gleich testen! http://f.web.de/?mc=021192

Reply to:

Follow-Ups:
- Re: zahlreiche SSH-login-Versuche unterbinden
  - From: Andreas Pakulat <apaku@gmx.de>

Prev by Date: Re: neue apt Version in unstable
Next by Date: Re: Re[2]: Re[2]: Re[2]: Re[2]: Zugriff auf Webserver sehr langsam
Previous by thread: Re: zahlreiche SSH-login-Versuche unterbinden
Next by thread: Re: zahlreiche SSH-login-Versuche unterbinden
Index(es):
- Date
- Thread