Hej! Tror inte man beh�ver vara s� orolig �ver inloggningsf�rs�k. Bara men inte har s� m�nga konton som det g�r att logga in p� och har bra l�senord och sp�rrat root login via SSH. Sedan b�r man inte anv�nda samma passord f�r inloggning som man anv�nder f�r t ex e-mail eller FTP.
F�r mig loggar SSHD alla inloggningsf�rs�k med IP-nummer. T ex kommandot kan plocka fram info om detta: grep -E "proftp|ssh|courier|mysql" /var/log/auth.log /var/log/daemon.log | less Exempel p� misslyckat inloggnings f�rs�k p� min server fr�n ok�nd person: /var/log/auth.log:Feb 27 07:27:29 Pyramid sshd[24790]: Failed password for root from 210.207.210.76 port 60417 ssh2 Ovanst�ende inloggningsf�rs�k �r "helt ofarligt" eftersom jag sp�rrat inloggning f�r root. limit-burst �r nog normalt t�nkt att anv�ndas n�r olika h�ndelser ska loggas fr�n iptables. Tror inte det �r t�nkt att anv�ndas p� det s�tt jag g�r. F�r att logga h�ndelser byts "-j ACCEPT" ut mot "-j LOG" med tillh�rande attribut. Syftet med limit-burst �r d� att begr�nsa m�ngden data som skrivs in i loggfilerna. Jag anv�nder limit-burst f�r att g�ra det jobbigt att ligga och tugga p� med inloggningsf�rs�k, eftersom min server inte svarar efter 5 f�rs�k. "-SYN" eller synkf�rs�k refererar till synkmeddelandet f�r TCP. Allts� f�rsta meddelandet n�r n�gon/n�got vill uppr�tta en TCP-koppling. Iptables kan inte avg�ra om det �r ett inloggningsf�rs�k. Iptables vet bara att n�got f�rs�ker uppr�tta en TCP-koppling p� en viss port. Det �r bara sshd som kan avg�ra om det �r ett inloggningsf�rs�k. /Urban timebandit skrev: > > Hall�jsan! > > > Finns mycket mer i loggarna som jag inte orkar dra ut men �r os�ker i > vilket fall :) S� jag har g�tt igenom alla loggarna � blacklistar alla > ip's ifall =) > Nu �r inte jag heller direkt kung p� detta eller n�tt annat f�r den > delen men det som du n�mnde om iptalges med limit burst... Vad menar med > synk f�rs�k? Finns det m�jligen n�tt s�tt med iptables eller dyligt att > om man g�r fler �n tex 4 misslyckade inloggingar s� sparat ip't till en > log eller dyligt? > > > Tack f�r alla svaren som ramlar in.... > > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
