1000de Loginversuche via ssh

[FunkyFish]

Hi mo,

mo schrieb:
> Hallo Liste,
> 
> Ich habe soeben in meinem auth.log feststellen müssen, das es heute
> nacht auf meinem Rechner mehrere hundert loginversuche via ssh gab.
> Das ganze hat sich innerhalb einer Stunde abgespielt und die versuche
> kamen alle von ein und derselben IP Adresse.
> 
> Wollt nun Fragen, ob und wie ich Einstellungen vornehmen kann, die einen
> solchen Versuch unterbinden.

Dafür gibt es prinzipiell mehrere Möglichkeiten. Die einfachste meiner
Ansicht nach ist es, einfach den SSHD Port zu verlegen. Nimm irgendwas
oberhalb der 1024 und fürs erste hörts schonmal auf. Allerdings hat man
da manchmal Probleme hinter diversen Firewalls, die nur bestimmte Ports
zur Kommunikation nach außen erlauben.
Eine andere Möglichkeit wäre es, nur noch per public-key Verfahren zu
authentifizieren.

Und dann gibt es noch eine ganze Reihe von Skripten, die das
bewerkstelligen. Meines Wissens gibts dafür zwei Hauptwirkungsweißen:
Eine arbeitet mit der hosts.deny und trägt dort die IPs ein, welche zu
oft versuchen sich einzuloggen.

Es gibt auch Skripts die mit iptables arbeiten. Hierbei musst du
aufpassen: Es gibt Skripte die blockieren dann generell SSH und Skripte
die nur bestimmte IPs temporär bannen. Der Nachteil wenn SSH generell
geblockt wird ist, dass auch du dich nicht mehr einloggen kannst, wenn
ein anderer ein paar mal sein Passwort falsch eingegeben hat.

Hier mal ein paar Links:
http://nodomain.cc/archives/190-SSH-Bruteforce-Attacks-mit-IPTables-stoppen.html
http://www.csc.liv.ac.uk/~greg/sshdfilter/
http://www.rootforum.de/forum/viewtopic.php?t=35805

Gruß
-Sascha-