Re: pam_geoip unter Debian Wheezy
Am 28.01.2014 20:02, schrieb Philipp Flesch:
aus den verschiedensten Gründen kann ich SSH nicht auf einen anderen
Port legen ... trotzdem möchte ich die Zugriffe via GeoIP einschränken.
Hatte jemand von Euch schon mal das selbe Problem und hat es erfolgreich
gelöst?
Hallo,
Ich hatte vor einiger Zeit auch schon mal damit experimentiert. Was
willst Du erreichen?
Bei mir ging es darum, die ganzen Login-Versuche aus Taiwan und China zu
blocken, welche bei meinem schwachbrüstigen VServer die Nebenwirkung
eines DDOS hatten.
Versuche mit Pam waren nicht so erfolgreich, da auch dies unnötig
Ressourcen frisst. Weitere Versuche mit IP-Tables waren auch nicht
effektiv, da man entweder ewig lange Listen mit Bereichen hat, die
IP-Tables durcharbeiten muss oder im Fall von fail2ban während einer
Angriffswelle teilweise über 100 geblockte IPs - und die Gefahr dass
einem ein zulässiger Zugang mittels IP-Spoofing abgeschossen wird.
Bei mir hat sich nun die Methode per PortKnocking und IP-Tables als sehr
effektiv herausgestellt. Alle Rechner die legal zugreifen dürfen müssen
in der ersten Stufe ein netcat aufrufen, um den Port für 24 Stunden
aufzumachen.
Das hat sich als sehr effektiv herausgestellt. Der eigentliche SSH-Login
ist nur mit Zertifikat zugelassen, so dass dies kein Sicherheitsmerkmal,
sondern nur eine DDOS-Bremse ist.
Ich habe nun seit über einem Jahr nicht einen unzulässigen
SSH-Login-Versuch im Log gehabt.
Evtl. ist das ja auch für Dich eine Lösung.
mfg
Matthias
Reply to: