> ich hab mir letztens mal meine /var/log/auth.log angeschaut, und über
> 2 Monate hinweg rund 14.000 fehlgeschlagene ssh loginversuche von
> insgesamt 14 IP-Adressen.
>
> Erste Frage: ist da Viel?
Geht.
> Sind wörterbuchattacken.
> Jetzt hab ich mir überlegt, die IpAdresse zu blocken. Hatte mir
> überlegt, ich checke die /var/log/auth.log und sobald ich 4
> aufeinderfolgende Illegale logins habe, blocke ich die IP.
>
> Da das ein ziemliche simple - denke ich mal - verfahrensweise ist,
> wollte ich mal frage wie ihr sowas handhabt. Vielleicht habt ihr ein
> paar gute tipps für mich.
Nuja, es gibt mehrere Möglichkeiten, auf diese Attacken zu reagieren:
1. SSH-Login überhaupt nur noch per Key zulassen
2. Portknocking
3. Einen ungewöhnlicheren Port für den sshd wählen (8023 oder sowas)
4. Sich viel Mühe machen und scriptgesteuert die Logfiles checken und
bei Bedarf in einen evtl. Portfilter temporäre Regeln einfließen
lassen
5. Nachforschen, ob es irgendeinen Paketfilter gibt, der so eine
Funktionalität gleich mitbringt
6. Mit IDS herumspielen
Variante 1 ist mir sehr sympathisch. Einfach, sinnvoll, effektiv.
Variante 2 ist auch spannend und irgendwie ziemlich Agentenmäßig.
Variante 3 kann man machen, is aber irgendwie lame und nicht im Sinne
des Erfinders.
Variante 4 wäre mir zu anstrengend
Variante 5 lässt mich mich daran erinnern, daß ich immer noch nicht
verstanden habe, wozu ein einzelner Rechner eine Firewall
benötigen sollte.
Variante 6 : siehe Variante 5
Fazit: Das mit den Regeln ist nur so mittelschlau. 1, 2 oder 3 ist da
pragmatischer.
Gruß,
Malte
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 14 Sep 2005 - 21:47:19 CEST