Re: server schützen gegen ssh wörterbuchattacken

From: Alexander Dalloz <ad+lists(at)uni-x.org>
Date: Fri, 16 Sep 2005 17:46:42 +0200

Am Do, den 15.09.2005 schrieb Oliver Fromme um 13:05:

> > Jetzt hab ich mir überlegt, die IpAdresse zu blocken. Hatte mir
> > überlegt, ich checke die /var/log/auth.log und sobald ich 4
> > aufeinderfolgende Illegale logins habe, blocke ich die IP.
>
> Das kannst Du ziemlich leicht automatisieren und quasi in
> Echtzeit machen: Einfach in /etc/syslog.conf zusätzlich
> ein Skript oder Programm für »auth.info« eintragen, das
> dann alle diese Logmeldungen auf stdin bekommt. Das kann
> dann einfach die relevanten Meldungen rauspicken, sich die
> IP-Adressen merken, mitzählen und ggf. eine Paketfilter-
> regel erzeugen, die die betreffende IP-Adresse für einen
> gewissen Zeitraum erdet.

> Olli

... wenn ich auch mal meinen Senf dazu beitragen darf ...

Zitat gekürzt, kann aber die kompletten Aussagen von Oliver
unterschreiben. Ein wirklich guter Beitrag zum Thema.

Was die lästigen SSH Scans angeht noch 2 Ansätze meinerseits.

a) http://www.hexten.net/pam_abl/
Der geneigte Leser mag sich auf der Seite selbst einen schnellen
Überblick verschaffen. Leider kompiliert dieses PAM Modul nicht auf
FreeBSD. Vielleicht wäre jemand zur Portierung bereit?

b) Der PF von OpenBSD, ja auch auf FreeBSD verfügbar, kann genau solch
eine angesprochene Blockade von SSH Wörterbuchattacken mittels einfacher
Regeln herbeiführen. Ein Beispiel wäre:

table <ssh_spammer> persist
block in quick from <ssh_spammer>

pass in on $ext_if proto tcp to $ext_if \
    port ssh flags S/SA keep state \
    (max-src-conn-rate 15/5, overload <ssh_spammer> flush)

Leider beherrscht PF auf FreeBSD 5.4 diese Syntax noch nicht
vollständig. Ist jemandem von euch bekannt, ob PF im kommenden FreeBSD 6
näher am PF von OpenBSD sein wird (z.B. max-src-conn-rate beherrscht)?

Alexander

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 16 Sep 2005 - 17:47:51 CEST

search this site