Florian Heinle schrieb:
[... aufwendige sicherheitsmaßnahmen ...]
Um was für Attacken handelt es sich eigentlich? Gezielte Attacken
gegen den host oder scannt jemand Netzwerke durch?
Eventuell würde es doch schon ausreichen, dem SSHD irgend einen anderen,
uninteressanten, Port zu geben. Das
... sinnvolle andere Wege ...
Ist es notwendig, den Dienst 24h laufen zu lassen?
Wieviel User dürfen sich einloggen?
Welche anderen Dienste werden auf dem Rechner angeboten?
Gruß Uli
--
Auftragsdatenbank: http://jobjektiv.de/index.html
--
Haeufig gestellte Fragen und Antworten (FAQ):
Ulrich Mietke schrieb:
Ist es notwendig, den Dienst 24h laufen zu lassen?
Ja, Zugriffe erfolgen zu beliebigen Zeiten.
Wieviel User dürfen sich einloggen?
Ca. 2
Kann sich aber kurzfristig mal ändern.
Welche anderen Dienste werden auf dem Rechner angeboten?
(s)pop3, (s)imap, web, subversion, smtp,
Patrick Cornelissen schrieb:
Ulrich Mietke schrieb:
Ist es notwendig, den Dienst 24h laufen zu lassen?
Ja, Zugriffe erfolgen zu beliebigen Zeiten.
Unter Umständen ist es ja ausreichend, den sshd über einen anderen der
immer angebotenen Dienste immer nur dann zu starten, wenn er gebraucht
Ulrich Mietke schrieb:
Unter Umständen ist es ja ausreichend, den sshd über einen anderen der
immer angebotenen Dienste immer nur dann zu starten, wenn er gebraucht
wird. Unmittelbar nach dem einloggen kann der sshd wieder abgeschaltet
werden, die etablierte Verbindung bleibt ja bestehen.
Eine
[... aufwendige sicherheitsmaßnahmen ...]
Um was für Attacken handelt es sich eigentlich? Gezielte Attacken
gegen den host oder scannt jemand Netzwerke durch?
Eventuell würde es doch schon ausreichen, dem SSHD irgend einen anderen,
uninteressanten, Port zu geben. Das schützt zwar nicht vor dem
am 22.11.2004, um 8:49:00 +0100 mailte Patrick Cornelißen folgendes:
Andreas Kretschmer wrote:
Da könntest Du den sshd auch über den (x)indetd starten, bzw.,
wahrscheinlich ist sshd eh über tcpwrapper gelinkt.
Da ist es dann auch möglich/sinnvoller, hosts.allow/hosts.deny dafür
zu
Am 2004-11-22 08:49:00 schrieb(en) Patrick Cornelißen:
Andreas Kretschmer wrote:
Da könntest Du den sshd auch über den (x)indetd starten, bzw.,
wahrscheinlich ist sshd eh über tcpwrapper gelinkt.
Da ist es dann auch möglich/sinnvoller, hosts.allow/hosts.deny dafür
zu nutzen.
Ich denke nicht,
Richard Mittendorfer schrieb:
die ip bekommt man mit .. : spawn (/path/script %u %h) vom wrapper
(hosts.allow). wenn im auth.log dann illegal user oder guest
auftaucht koennte man die betreffende IP per iptables rule aussperren
- auf diese art erwischt man nur den richtigen. wenn es nicht eh
Am 2004-11-22 08:21:53 schrieb(en) Patrick Cornelißen:
Richard Mittendorfer wrote:
iptables -m limit --limit 30/h --limit-burst 2 ...fuer port 22 tcp
iptables -m limit --limit 30/h --limit-burst 2 -p 22 --protocol tcp
--s ! 131.220.156.31
Habe ich das richtig verstanden?
Der gewünschte Effekt
am Mon, dem 22.11.2004, um 17:56:32 +0100 mailte Richard Mittendorfer
folgendes:
Am 2004-11-22 08:21:53 schrieb(en) Patrick Cornelißen:
Richard Mittendorfer wrote:
iptables -m limit --limit 30/h --limit-burst 2 ...fuer port 22 tcp
iptables -m limit --limit 30/h --limit-burst 2 -p 22
Am 2004-11-22 19:34:23 schrieb(en) Andreas Kretschmer:
am Mon, dem 22.11.2004, um 17:56:32 +0100 mailte Richard
ich hab das eben erfolglos versucht, scheint als waehre das unfug.
Ohne es probiert zu haben: es ist Unfug, weil es maximal Sinn machen
würde, das Limit auf SYN-Pakete zu setzen. Mit
Andreas Kretschmer wrote:
Andreas, sinnvolle andere Wege genannt habend.
Hast ja recht. Das andere wäre mir aber lieber gewesen.
Jetzt muss ich mir mal Portknocking ansehen.
--
Bye,
Patrick Cornelissen
http://www.p-c-software.de
ICQ:15885533
--
Haeufig gestellte Fragen und Antworten (FAQ):
am 22.11.2004, um 23:00:11 +0100 mailte Richard Mittendorfer folgendes:
ich denk' das logfile verwenden und daraus eine rule fuer iptables
(oder hosts.allow/xinetd) erstellen ist kein schlechter weg. einen
Wenn ich weiß, daß Du das machst, mache ich spielend einfach Deinen
Zugang kaputt.
Hi!
Zur Zeit ist es ja in, mit sinnlosen Scripten, sinnlose User/Passwort
Kombinationen per SSH auszutesten.
Das müllt meine Logs extrem zu, ausserdem will ich für Brute Force
Angriffe die notwendige Dauer hochschrauben, indem nach z.B. 3
erfolglosen Loginversuchen eine Zwangspause von 30 Sek.
Am 2004-11-21 10:19:44 schrieb(en) Patrick Cornelißen:
Hi!
Zur Zeit ist es ja in, mit sinnlosen Scripten, sinnlose User/
Passwort Kombinationen per SSH auszutesten.
Das müllt meine Logs extrem zu, ausserdem will ich für Brute Force
Angriffe die notwendige Dauer hochschrauben, indem nach z.B. 3
Richard Mittendorfer wrote:
laesstig, ..ich weiss.
Eben und per Logwatch bekomme ich das auch noch gnadenlos zugeschickt :-(
iptables -m limit --limit 30/h --limit-burst 2 ...fuer port 22 tcp
Ist das für alle IPs oder pro SenderIP?
(sorry für pm)
--
Bye,
Patrick Cornelissen
am Sun, dem 21.11.2004, um 14:48:15 +0100 mailte Patrick Cornelißen folgendes:
Richard Mittendorfer wrote:
laesstig, ..ich weiss.
Eben und per Logwatch bekomme ich das auch noch gnadenlos zugeschickt :-(
iptables -m limit --limit 30/h --limit-burst 2 ...fuer port 22 tcp
Ist das für
Am 2004-11-21 15:01:47 schrieb(en) Andreas Kretschmer:
am Sun, dem 21.11.2004, um 14:48:15 +0100 mailte Patrick Cornelißen
folgendes:
Richard Mittendorfer wrote:
laesstig, ..ich weiss.
Eben und per Logwatch bekomme ich das auch noch gnadenlos
zugeschickt :-(
iptables -m limit --limit 30/h
am Sun, dem 21.11.2004, um 18:55:54 +0100 mailte Richard Mittendorfer
folgendes:
Am 2004-11-21 15:01:47 schrieb(en) Andreas Kretschmer:
am Sun, dem 21.11.2004, um 14:48:15 +0100 mailte Patrick Cornelißen
folgendes:
Richard Mittendorfer wrote:
laesstig, ..ich weiss.
Eben und per
am Sun, dem 21.11.2004, um 18:55:54 +0100 mailte Richard Mittendorfer
folgendes:
iptables -m limit --limit 30/h --limit-burst 2 ...fuer port 22 tcp
Ist das für alle IPs oder pro SenderIP?
www.netfilter.org
= kanns't mit -s (source der anfrage) festlegen.
-p tcp (prot.) --dport (wohin)
Am 2004-11-21 19:01:42 schrieb(en) Andreas Kretschmer:
hi!
www.netfilter.org
= kanns't mit -s (source der anfrage) festlegen.
-p tcp (prot.) --dport (wohin)
Henne-Ei-Problem. Ich kann nicht für alle mögliches IPs im Vorfeld
solche Regeln erstellen.
?versteh ich nicht. ich rede nicht von
Richard Mittendorfer wrote:
iptables -m limit --limit 30/h --limit-burst 2 ...fuer port 22 tcp
...aber das darf natuerlich kein loginserver sein ;)
Nö, so viele Logins gibt es nicht pro Stunde, ist hauptsächlich ein
Webserver.
Ich habe über das Wohnheim eine feste IP, es wäre ja praktisch, wenn
am 22.11.2004, um 8:21:53 +0100 mailte Patrick Cornelißen folgendes:
Ich habe über das Wohnheim eine feste IP, es wäre ja praktisch, wenn ich
Fein!
Da könntest Du den sshd auch über den (x)indetd starten, bzw.,
wahrscheinlich ist sshd eh über tcpwrapper gelinkt.
Da ist es dann auch
Andreas Kretschmer wrote:
Da könntest Du den sshd auch über den (x)indetd starten, bzw.,
wahrscheinlich ist sshd eh über tcpwrapper gelinkt.
Da ist es dann auch möglich/sinnvoller, hosts.allow/hosts.deny dafür
zu nutzen.
Ich denke nicht, weil derjenige, mit dem ich den Server zusammen miete
per
25 matches
Mail list logo
