On 2005-12-12 16:20:44 +0100, André Bischof wrote: > wg. Fehlersuche (VNC über Putty: "Forwarded Port closed") habe ich > gerade mein ssh in der sshd_config auf LogLevel DEBUG2 gesetzt. > > Dabei tauchen laufend diese Einträge auf, der username (hier dime) > ändert sich dabei leicht, sieht nach einer Wörterbuchattacke aus. Kann > ich da was gegen tun (ohne meinen Server vom Netz zu nehmen oder ähnlich > drastische Massnahmen)? Die IP-Adresse des angreifenden Servers ist ja > dabei. > [...] > Ist das normales Internetrauschen oder muss ich mir Sorgen machen?
Das ist normal und bei guten Passworten auch kein Problem. Wenn dir das aber zu nervig ist, kannst du - den Port umlegen - Blacklisting - auf PAM-Ebene: pam_abl (http://www.hexten.net/pam_abl/) - auf IP-Ebene: entweder Skripte, die das ssh-Log überwachen und die iptables-Regel anpassen oder durch adaptive iptables-Regeln mittels des recent-Moduls. Ich habe auf einem Rechner, wo sich die Benutzer per ssh anmelden können und wo man nicht sicher sein kann, dass die Passwörter sicher sind, ein paar adaptive iptables-Regeln aufgesetzt. Es werden max 4 neue Verbindungen innerhalb von 60 Sekunden akzeptiert, danach wird die IP automatisch geblacklistet und wieder freigegeben, wenn 2 Minuten lang keine neue Verbindungsversuche unternommen werden. So können sich die User noch anmelden und SSH-Scanner werden nach 4 Versuchen geblockt. Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)