Hallo Andreas, * Andreas Appenheimer <[EMAIL PROTECTED]> [20050731 10:29]: > Frage(n): > * Wie gefährlich sind diese Attacken wirklich?
Bei vernünftig gewählten Passwörtern würde ich sagen: Nicht gefährlich. > * Ist es sinnvoll an den jeweiligen [EMAIL PROTECTED] 'ne Meldung zu schicken? Ist mir persönlich zu aufwändig, aber ist sicher bei jedem klar erkennbaren Einbruchsversuch sinnvoll. > * Ist es sinnvoll bzw. überhaupt möglich solche IPs zu > bannen/blocken(quasi als Sanktion)? Mit dem recent Modul von netfilter ist das in etwa möglich, siehe die NOBF-Chain in meiner netfilter-Konfiguration unter <http://www.akk.org/~zorg/config/iptables>. Diese Chain wird für alle neuen Pakete an den SSH-Port angesprungen. Man beachte aber, dass iptables hier erwünschte Zugriffe nicht von denen der Scanner unterscheiden kann, 'hitcount' sollte also hinreichend groß bzw 'seconds' hinreichend groß sein um autorisierte Nutzer nicht zu stören. Zusätzliche Sicherheit bringt das nur wenig, aber immerhin merken die Scanner, dass sie definitiv unerwünscht sind ;) Meine Sicherheitsstrategie sieht so aus: - Sichere Passwörter (mit Zahlen und Sonderzeichen) - Root-Login nur mit SSH-Key - Login als admin (der bei mir der einzige user in der wheel-group ist und su benutzen darf) über SSH überhaupt nicht möglich - scannende hosts mit Netfilter temporär blocken, s.o. Davon halte ich nur den ersten Punkt für wirklich entscheidend. Grüße, Felix -- | /"\ ASCII Ribbon | Felix M. Palmen (Zirias) http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | X HTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |
signature.asc
Description: Digital signature
