[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: SSH-Server auf Angriffe prüfen.



On Saturday 09 September 2006 14:48, Amir Tabatabaei wrote:
> On Sat, 2006-09-09 at 14:37 +0200, Martin Reising wrote:
> > On Sat, Sep 09, 2006 at 01:45:01PM +0200, Amir Tabatabaei wrote:
> > > $IPTABLES -I INPUT -p tcp --dport 22 -m state --state NEW -m
> > > recent --set $IPTABLES -I INPUT -p tcp --dport 22 -m state --state
> > > NEW -m recent --update --seconds 600 --hitcount 2 -j DROP
>
> Na gut, nach 2 *GanzEgalWasFür* Versuchen. Für mich war es bisher auf
> jeden Fall sehr hilfreich, Unerwünschte fernzuhalten.
>
> > AFAIK wird nach jeder 2. ssh Verbindung für 10 Minuten jede weitere
> > Verbindung dummerweise geDROPt. Warum eigentlich nicht REJECT?
>
> Weil ich nicht einem Angreifer unter die Arme greife!
>

Durch diese Regel ist es aber sehr einfach möglich, eine Denial of 
Service Situation herzustellen, oder? Ich baue einfach alle paar Minuten 
eine Verbindung auf und schon kann sich niemand mehr am ssh daemon 
anmelden.

IMO sollte sshd nicht auf port 22 lauschen, dann fallen die meisten 'seek 
and exploit' Angriffe ohnehin schonmal weg.

Gruß,
Andreas



Reply to: