[Postfixbuch-users] OT: SSH-zugang nach 3 Fehler f. die IP Sperren
Alexander Dalloz
ad+lists at uni-x.org
Fr Sep 8 16:11:43 CEST 2006
Sven Schöppner schrieb:
>Hallo Liebe Liste,
>ich suche eine Möglichkeit unter Debian nach 3 Fehlversuchen den
>zugang von dieser IP zu sperren.
>Habe hier mit grossen anzahl von Wörterbuchangriffen zu kämpfen.
>
>Wer hat einen Tip?
>
>Gruss
>Sven
>
Es wurden ja schon zentrale Lösungen genannt. Aus meiner Sicht ist es
seit dem ersten Aufkommen dieser script kid SSH attacks bis heute
absolut wirksam, in der sshd_config "Port" auf etwas anderes als 22 und
einen nicht standardmäßig durch andere Dienste verwendeten Port zu
legen. Das kann sich naürlich in Zukunft ändern. Ansonsten wurde ja
iptables auch bereits genannt, um die Anzahl der möglichen
Zugangsversuche innerhalb einer definierten Periode zu reglementieren.
Daneben gibt es DenyHosts - http://denyhosts.sourceforge.net/ - oder
auch pam_abl - http://www.hexten.net/pam_abl/. Letzteres greift
natürlich nur dann, wenn dein SSHd mit PAM arbeitet, hat aber den
Vorteil, dass der Angreifer gar nicht mitbekommt, dass er ab einer
bestimmten Grenze von PAM gesperrt wird. Und pam_abl ist nicht auf SSHd
beschränkt, sondern kann sämtliche mit PAM arbeitende Zugänge wirksam
vor dictionary attacks schützen, also auch SMTP AUTH, POP3/IMAP, FTP
Server Dienste. Ganz wichtig ist bei solchen Lösungen, dass man sich
kein gewaltiges Eigentor damit erzielt, indem man sich durch
Schusseligkeit (Kaffeemangel) selber mal schnell aussperrt!
Alexander
Mehr Informationen über die Mailingliste Postfixbuch-users