On 2005-12-13 07:48:22 +0100, Jan Kesten wrote: > Michael Bienia wrote: > > > Ich habe auf einem Rechner, wo sich die Benutzer per ssh anmelden > > können und wo man nicht sicher sein kann, dass die Passwörter sicher > > sind, ein paar adaptive iptables-Regeln aufgesetzt. Es werden max 4 > > neue Verbindungen innerhalb von 60 Sekunden akzeptiert, danach wird > > die IP > > Kannst Du mir verraten, wo ich da genauere Infos zu finde? Oder > vielleicht mal die Regeln posten? Wollte soetwas in der Art auch > implementieren, aber mit Logfileüberwachung nur das klingt nach viel > weniger Arbeit :-) Ich weiss, dass es mit iptables Limits und ähnliches > gibt, nur wenn ich mir das lange Wiedereinlesen ersparen kann...
Hiermal ein paar Links: http://blog.andrew.net.au/2005/02/17#ipt_recent_and_ssh_attacks http://www.debian-administration.org/articles/187 oder mal nach "iptables recent ssh" googlen, dürfte auch genug Seiten auflisten mit ähnlichen Regeln. Man sollte sich auch noch folgende Seite wegen eines Bugs im recent-Moduls durchlesen: http://blog.blackdown.de/2005/05/09/fixing-the-ipt_recent-netfilter-module/ Weiß einer, ob in den Debian-Kernel CAN-2005-2873 (http://nvd.nist.gov/nvd.cfm?cvename=CAN-2005-2873) schon gefixt wurde? Hier noch die Regeln, die ich momentan einsetze: | IPT=/sbin/iptables | DEV=eth0 | | $IPT -N SSH_BADGUYS | $IPT -A SSH_BADGUYS -m recent --name ssh_badguys --set | $IPT -A SSH_BADGUYS -j LOG --log-prefix "SSH scanner detected: " | $IPT -A SSH_BADGUYS -j REJECT --reject-with icmp-admin-prohibited An dieser Stelle kann man auch noch eine Whitelist einbauen, wenn man möchte. | $IPT -A INPUT -i $DEV -p tcp --dport 22 -m state --state NEW -m recent --name ssh_badguys --update --seconds 120 --rttl -j REJECT --reject-with icmp-admin-prohibited | $IPT -A INPUT -i $DEV -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh | $IPT -A INPUT -i $DEV -p tcp --dport 22 -m state --state NEW -m recent --rcheck --seconds 60 --hitcount 5 --rttl --name ssh -j SSH_BADGUYS Mit "iptables -m recent -h" kannst du dir die Hilfe für die Optionen anzeigen lassen. Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
