On 17.05.06 17:56:30, Thilo Engelbracht wrote: > Auf meinem Linux-Server (Debian sarge) läuft u.a. ein SSH-Server, der > Dienst lauscht auf Port 22. > Bei der Analyse meiner Logfiles habe ich festgestellt, dass häufig > probiert wurde, sich auf meinen Rechner per SSH einzuloggen. > > Hier ein kurzer (!) Auszug aus "/var/log/auth.log": > > Im Prinzip dürfte eigentlich wenig passieren, weil zur Zeit ein > SSH-login ausschliesslich mit einem PrivateKey möglich ist. > > Trotzdem frage ich mich, wie ich solche Angriffsversuche unterbinden > oder zumindest erschweren kann. Ist es möglich, die IP-Adresse > aaa.bbb.ccc.ddd nach x fehlgeschlagenen SSH-login-Versuchen für z.B. > 1 Minute zu sperren? Und falls ja: Wie?
Das ist eine Moeglichkeit, die aber relativ schwierig zu implementieren ist (AFAIK, habs noch nicht selbst gemacht) und ausserdem u.U. auch Fehleranfaellig. Ein viel einfacherer Weg diesen Script-Kiddies den Spass zu verderben ist den sshd einfach auf nen anderen Port zu legen, vorzugsweise >1024 da ja auch noch andere Dienste auf Ports <1024 "standardmaessig" lauschen. Ich hab seitdem keinerlei dieser "Angriffe" mehr. Ist natuerlich kein adaequates Sicherheitsmittel gegen ernsthafte Angriffe, einzig um diese nervtoetenden Logmeldungen zu unterbinden. Andreas -- You possess a mind not merely twisted, but actually sprained. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)