© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
J. Erik Heinz wrote:
> Hi,
>
>
>
> [ 14000 sshlogins ]
>
>>habe auch regelmäßig Leute, die bei einem meiner Rechner anklopfen.
>>Meist als root, und dem ist ja ein Login von außen idR grundsätzlich
>>nicht erlaubt.
>
> is bei mir auch aus.
>
dito.
>>>Sind wörterbuchattacken. Jetzt hab ich mir überlegt, die IpAdresse zu
>>>blocken. Hatte mir überlegt, ich checke die /var/log/auth.log und
>>>sobald ich 4 aufeinderfolgende Illegale logins habe, blocke ich die
>>>IP.
>>
>>Damit hätte man dann eine einfache Methode den Rechner zu DOSen. Einfach
>>beliebige IP-Adressen spoofen und vier mal bei dir nachfragen und schon
>>ist die IP blockiert. Wenn du auch nochmal von außen an deinen Rechner
>>dran möchtest, dann würde ich das lassen.
>>
>>Bei uns im Netz gibt es ein Limit von 200 Connect-Versuche innerhalb von
>>2 Minuten, was mir mehr Ärger gebracht hat, als es meine Rechner im
>>Netztwerk wirklich geschützt hätte (insbesondere weil das Skript anfangs
>>noch einen Bug hatte).
>
> das hatte ich garnicht bedacht. ist auf den ersten blick einleuchtend,
> das mit den DOSen.
>
Deswegen so ein Tool auf jeden Fall zeit-gesteuert basteln. Eine IP die
geblockt ist, sollte nicht länger als Zeitperiode X geblockt sein. Sonst
bastelst du dir selber eine DOS Attacke.
Ich fummel gerade an nem kleinen Tool in C rum, was genau das tut.
syslog-auth meldungen werden an den daemon geschickt, der parst und
guckt, wenn ein vordefinierter Wert überschritten ist, blockt er mit
Hilfe von pf(4) selbige IP adresse.
Die Zeit X wann eine geblockte IP wieder freigegeben wird ist frei
konfigurierbar.
So kann man seine Logfiles sauberhalten, ohne sich gleich selbst
auszusperren.
Zeit X = 5 Minuten
Loginversuche = 3
Dann noch einen Parameter der sagt, nicht mehr als X IP Adressen pro
Minute blocken und fertig.
:-)
>
>>Ich würde auf sowas lieber verzichten und die User daran erinnern
>>vernünftigte Passwörter zuverwenden (was RSA/DSA einschliesst).
>
das so oder so. Natürlich kann, und sollte man vielleicht sogar,
PublicKey authentifizierung erzwingen. Dennoch müllen einen die
Wörterbuchattacken die logfiles zu :-/
Insgesamt ist das Problem ja eher kosmetischer Natur; solange man seinen
sshd gut genug konfiguriert hat und immer brav aktuell hält.
HTH,
Marian
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 15 Sep 2005 - 01:52:40 CEST