[Postfixbuch-users] OT: SSH-zugang nach 3 Fehler f. die IP Sperren

Alexander Dalloz ad+lists at uni-x.org
Fr Sep 8 16:11:43 CEST 2006


Sven Schöppner schrieb:

>Hallo Liebe Liste,
>ich suche eine Möglichkeit  unter Debian  nach 3 Fehlversuchen den 
>zugang  von  dieser  IP  zu  sperren.
>Habe hier mit grossen anzahl von Wörterbuchangriffen zu kämpfen.
>
>Wer hat einen Tip?
>
>Gruss
>Sven
>
Es wurden ja schon zentrale Lösungen genannt. Aus meiner Sicht ist es 
seit dem ersten Aufkommen dieser script kid SSH attacks bis heute 
absolut wirksam, in der sshd_config "Port" auf etwas anderes als 22 und 
einen nicht standardmäßig durch andere Dienste verwendeten Port zu 
legen. Das kann sich naürlich in Zukunft ändern. Ansonsten wurde ja 
iptables auch bereits genannt, um die Anzahl der möglichen 
Zugangsversuche innerhalb einer definierten Periode zu reglementieren.
Daneben gibt es DenyHosts - http://denyhosts.sourceforge.net/ - oder 
auch pam_abl - http://www.hexten.net/pam_abl/. Letzteres greift 
natürlich nur dann, wenn dein SSHd mit PAM arbeitet, hat aber den 
Vorteil, dass der Angreifer gar nicht mitbekommt, dass er ab einer 
bestimmten Grenze von PAM gesperrt wird. Und pam_abl ist nicht auf SSHd 
beschränkt, sondern kann sämtliche mit PAM arbeitende Zugänge wirksam 
vor dictionary attacks schützen, also auch SMTP AUTH, POP3/IMAP, FTP 
Server Dienste. Ganz wichtig ist bei solchen Lösungen, dass man sich 
kein gewaltiges Eigentor damit erzielt, indem man sich durch 
Schusseligkeit (Kaffeemangel) selber mal schnell aussperrt!

Alexander





Mehr Informationen über die Mailingliste Postfixbuch-users