Linux: IP nach gescheiterten login-Versuchen blockieren?
Joerg
- internet-anbindung
0 Jens Holzkämper0 Joerg0 Jens Holzkämper0 Joerg
Guten Morgähn,
Mein Linux-Rechner ("Heimserver") haengt oft fuer laengere Zeit ununterbrochen am Internet, u.a. weil ich per ssh darauf zugreife. Logischerweise habe ich mehrmals taeglich Einbruchsversuche in den logfiles, was mich "technisch" nicht weiter stoert (nur port 22 ist offen, und der ist gut gesichert, root-login disabled etc).
Ich moechte allerdings gerne, dass eine solche IP nach 2 oder 3 erfolglosen Login-versuchen gesperrt wird. Keine lebenslange Blacklist, aber doch ein sofortiges denial der Verbindungsaufnahme von dieser IP fuer mehrere Stunden (oder bis zum naechsten reboot der Maschine ;-).
Fuer Solaris und einige andere Systeme gibt es da wohl eine entsprechende Einstellung in der "serienmaessigen" Firewall, aber fuer Linux scheint das "etwas komplizierter" zu sein.
Frage: Hat jemand eine passende Firewall-Rule, ein shell-script o.dgl. zur Hand? Was ich hier weniger gut gebrauchen kann, sind "ungefaehre Konzepte" ... im Sicherheitsbereich mag ich ungern "ausprobieren" ;-)
Ach ja: SuSE 9.0, Kernel 2.4.21.
Gruss & Merci,
Tach,
Mein Linux-Rechner ("Heimserver") haengt oft fuer laengere Zeit ununterbrochen am Internet, u.a. weil ich per ssh darauf zugreife. Logischerweise habe ich mehrmals taeglich Einbruchsversuche in den logfiles, was mich "technisch" nicht weiter stoert (nur port 22 ist offen, und der ist gut gesichert, root-login disabled etc).
wie wäre es damit das Login mit Paßworten komplett zu deaktivieren und statt dessen auf Public Key Authorisation zu setzen?
mfg
Woodfighter
Hi,
Mein Linux-Rechner ("Heimserver") haengt oft fuer laengere Zeit ununterbrochen am Internet, u.a. weil ich per ssh darauf zugreife. Logischerweise habe ich mehrmals taeglich Einbruchsversuche in den logfiles, was mich "technisch" nicht weiter stoert (nur port 22 ist offen, und der ist gut gesichert, root-login disabled etc).
wie wäre es damit das Login mit Paßworten komplett zu deaktivieren und statt dessen auf Public Key Authorisation zu setzen?
Hmmja, die Idee ist nicht schlecht ... aber das aendert nichts daran (wenn ich das richtig verstanden habe!), dass der ssh-port weiterhin offen bleibt und die Angriffe weitergehen.
Ich habe kein "wirkliches" Sicherheitsproblem damit, aber ich moechte den Kiddies einfach die Tuere vor der Nase wegziehen (abgeschlossen ist die sowieso schon;-), wenn sie es mehr als 2-3x versuchen.
Gruss & Merci,
Tach,
Hmmja, die Idee ist nicht schlecht ... aber das aendert nichts daran (wenn ich das richtig verstanden habe!), dass der ssh-port weiterhin offen bleibt und die Angriffe weitergehen.
das ist richtig, die Angriffe könnten theoretisch weitergehen, es wird aber wohl niemanden geben, der versuchen wird eine Brute-Force-Attacke auf einen RSA-Schlüssel zu machen, das wäre einfach sinnlos; also wird das in den gänginge Angriffsscripts nicht enthalten sein.
Alternativ sieht dieses Tutorial recht gut aus: [http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts@title=Preventing SSH Dictionary Attacks With DenyHosts].
mfg
Woodfighter
Hi auch wieder,
Alternativ sieht dieses Tutorial recht gut aus: [http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts@title=Preventing SSH Dictionary Attacks With DenyHosts].
In der Tat, sowas in der Art such(t)e ich - Danke!
Gruss & Merci,