Richard Mittendorfer schrieb:
> die ip bekommt man mit ".. : spawn (/path/script %u %h)" vom wrapper
(hosts.allow). wenn im auth.log dann "illegal user" oder "guest" auftaucht koennte man die betreffende IP per iptables rule aussperren
- auf diese art erwischt man nur den richtigen. wenn es nicht eh
schon eine moeglichkeit gibt, mit iptables den zeitraum der
begrenzung festzulegen sollte man die chain hin und wieder saeubern.
Das ist mir zu Heiss, weil ich nicht riskieren m�chte mich aus versehen mit einem Tippfehler in einer Zeile auszusperren ;-)
LIMIT macht das hier ganz anders: es erlaubt (nach der von mir weiter oben geschrieben rule) maximal 2 anfragen direkt hintereinander (burst) und pro stunde max. 30 zugriffe (30/h aka 2/m). kommt ein brute force guessing ssh connect laesst iptables nur diese 2 anfragen vom sshd beantworten. danach ist fuer ~ eine minute schluss und das script des ratenden angreifers gibt inzwischen idR.auf.
Das ist mir bisher noch die attraktivste L�sung. Also die folgende Zeile w�re richtig?
iptables -m limit --limit 30/h --limit-burst 2 -p 22 --protocol tcp --s ! 131.220.156.31
mit erweiterter sicherheit hat das freilich nichts zu tun. dafuer hab ich die AllowUser in der sshd_config und gute passwoerter am system.
Das ist klar, Sicherheit erh�he ich damit prinzipiell nicht, mir geht es nur darum, diese W�rterbuch Atacken abzuwehren, weil sie mir die Logs vollm�llen. Und auch mit AllowUser bringt bei einem Brute Force angriff keine Sicherheit, wenn die nen Usernamen herausfinden.
-- Bye, Patrick Cornelissen http://www.p-c-software.de ICQ:15885533
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
