Re: logcheck@myhost: PAM 1 more authentication failure
> 1. Sollte man solche kontinuierlichen Angriffsversuche irgendwo
> melden?
Wo willst du soetwas melden? Auserdem müsstest du ersteinmal
sicherstellen das es überhaupt ein Angriffsversuch darstellt.
> 2. Auf der Maschine ist momentan noch keine Firewall installiert.
Die brauchst du auch nicht wirklich. Und mit "Firewall" interpretiere
ich jetzt ersteinmal "Packetfilter". Entweder du lässt einen Dienst
laufen weil er erreichbar sein soll. Und wenn er nicht erreichbar sein
soll dann konfiguriere den Dienst so um das er nicht läuft oder nur auf
127.0.0.1 horcht.
> Ist auf Grund dieser Erfahrung dazu zu raten (also root kann
> sich ohnehin nicht per ssh anmelden aber ich brauche keine
> stündliche Meldung von logcheck ...)?
Nein, ein Packetfilter macht so gut wie keinen Sinn. Wenn du SSH
einlogversuche etwas mehr in die Schranken weißen möchtest würde ich
einfach Fail2Ban installieren. Das überwacht die Einlogversuche per SSH
und sperrt entsprechende IP-Adressen (über Packetfilter) wenn sie eine
bestimmte anzahl von Fehllogins in einem bestimmten Zeitraum haben. Das
ganze ist konfigurierbar. Aber in der Regel reicht es schon die bantime
auf 60 sekunden zu stellen um wilde SSH Login-einwahlversuche zu
unterbinden. Auf Servern habe ich sonst immer hunderte einlogversuche in
kürzester Zeit.
Den SSH-Port auf 2222 zu liegen oder sonst einen anderen Port halte ich
eher für eine schlechte Idee. Das "Problem" (sofern man es Problem
nennen kann) löst sich damit nicht und früher oder später hat man auch
auf Port 2222 irgendwelche Bots die versuchen sich einzuloggen.
Einfach mit Fail2Ban die IPs sperren. So sieht ein angreifer bzw ein
Skript das nach drei versuchen schluß ist. Und meist hat man dann auch ruhe.
Reply to: