Am Montag, 10. April 2006 23:03 schrieb Andreas Brandl: > Hallo Liste, > > ich hab mir ein Script geschrieben, dass /var/log/auth.log checkt > und ab dem Xten fehlgeschlagenen SSH-Login pro Tag die > entsprechende IP fuer einen Tag via iptables sperrt (REJECT). > > Jetzt wuerd ich allerdings trotzdem gerne die weiteren Versuche > loggen - evtl. um ggf. die entsprechenden ABUSE Stellen informieren > zu koennen.
du kannst mit iptables eine Regel definieren, die grundsätzlich ssh-Verbindungsaufbauten mitloggt und sicherstellen, dass die vor deiner (vom Skript eingestellten) REJECT Regel dran kommt, oder du kannst dein Skript zusätzlich eine individuelle LOG Regel _vor_ der REJECT Regel definieren lassen. In jedem Fall würde ich die vom Skript generierten Regeln in eine eigene Kette stellen, die du dann an einer festen Stelle in deine Inbound-Strategie einbindest, so schützt du dich vor bösen Überraschungen. -- Gruß Frank