On Saturday 09 September 2006 14:48, Amir Tabatabaei wrote: > On Sat, 2006-09-09 at 14:37 +0200, Martin Reising wrote: > > On Sat, Sep 09, 2006 at 01:45:01PM +0200, Amir Tabatabaei wrote: > > > $IPTABLES -I INPUT -p tcp --dport 22 -m state --state NEW -m > > > recent --set $IPTABLES -I INPUT -p tcp --dport 22 -m state --state > > > NEW -m recent --update --seconds 600 --hitcount 2 -j DROP > > Na gut, nach 2 *GanzEgalWasFür* Versuchen. Für mich war es bisher auf > jeden Fall sehr hilfreich, Unerwünschte fernzuhalten. > > > AFAIK wird nach jeder 2. ssh Verbindung für 10 Minuten jede weitere > > Verbindung dummerweise geDROPt. Warum eigentlich nicht REJECT? > > Weil ich nicht einem Angreifer unter die Arme greife! >
Durch diese Regel ist es aber sehr einfach möglich, eine Denial of Service Situation herzustellen, oder? Ich baue einfach alle paar Minuten eine Verbindung auf und schon kann sich niemand mehr am ssh daemon anmelden. IMO sollte sshd nicht auf port 22 lauschen, dann fallen die meisten 'seek and exploit' Angriffe ohnehin schonmal weg. Gruß, Andreas
