Re: logcheck@myhost: PAM 1 more authentication failure

To: debian-user-german@lists.debian.org
Subject: Re: logcheck@myhost: PAM 1 more authentication failure
From: Andre Tann <atann@alphasrv.net>
Date: Tue, 22 May 2012 15:22:32 +0200
Message-id: <[🔎] 201205221522.33180@inter.netz>
In-reply-to: <[🔎] 20120522110953.GE8212@an3as.eu>
References: <[🔎] 20120522110953.GE8212@an3as.eu>

Andreas Tille, Dienstag 22 Mai 2012: 

>   1. Sollte man solche kontinuierlichen Angriffsversuche irgendwo
>      melden?

Dann biste ja nur noch mit Melden beschäftigt (wäre ich zumindest).


>   2. Auf der Maschine ist momentan noch keine Firewall installiert.
>      Ist auf Grund dieser Erfahrung dazu zu raten (also root kann
>      sich ohnehin nicht per ssh anmelden aber ich brauche keine
>      stündliche Meldung von logcheck ...)?

Ich würde fail2ban auf die Kiste draufpacken, und schon ist Ruhe. Port
verlegen finde ich im wesentlichen mal unpraktisch. Wo stellt man den
Port gleich bei rsync ein? Und wie nochmal bei scp? Usw.

Meine fail2bans sind auf den ssh-Ports so eingestellt, daß nach zwei
fehlgeschlagenen Versuchen die IP-Adresse für ne Woche gesperrt ist. Da
ich nur Anmeldungen mit Keys erlaube und damit der Faktor "Vertippt"
wegfällt, klappt die Anmeldung entweder beim ersten Mal, oder gar nicht.

Somit hatte ich noch nie ein Problem mit der langen Ban-Zeit, dafür aber
eben Ruhe auf der Kiste und in den Logs.


-- 
Andre Tann

Reply to:

References:
- logcheck@myhost: PAM 1 more authentication failure
  - From: Andreas Tille <andreas@an3as.eu>

Prev by Date: Re: logcheck@myhost: PAM 1 more authentication failure
Next by Date: Re: Lokalisierung icedove?
Previous by thread: Re: logcheck@myhost: PAM 1 more authentication failure
Next by thread: Fragem nach entfernen von flrgx-driver zu radeon
Index(es):
- Date
- Thread