Seit Tagen blockieren irgendwelche "Deppen" mein SSH und bauen 1000 Connections auf um SSH per BruteForce zu hacken.
Da das Passwort nicht im Wörterbuch steht, mache ich mir weniger Sorgen um einen System "Einbruch" als einfach darum, dass meine Verbindung dadurch runter geht. Und es einfach läßtig ist.

Was für Möglichkeiten habe ich, die Angreifer fernzuhalten.

Eine Port-Verlgegung wird ja wenig bringen (NMAP und schon hat man den Port wieder)
Gibt es eine möglichkeit IPs von denen z.B. 3x ein falsches Passwort kamm zu sperren?
Was würdet ihr mir raten?

Die SUFU ist was feines:

http://linuxforen.de/forums/showthread.php?t=166256

mfg
cane

Die Suchfunktion hatte ich schon durch ;)
Und du musst zugeben, der letzte Beitrag ist schon recht alt!
Ich dachte, dass es inzwischen vielleicht was neues gibt.
Da ich hörte ACID / Snort solle es in der neuen Version anbieten etc

das kann sein - wenn Du etwas "neueres" findest würde ich mich über Infos und Links freuen :)

mfg
cane

Kann man nicht einfach Die IP von dennen in iptable dropen ?

ne möglichkeit wäre doch auch das portknocking

glaub mal in der ct stand was dazu

ne möglichkeit wäre doch auch das portknocking


Das ist eine Möglichkeit - verfolgt aber einen ganz anderen Ansatz...

Außerdem kann man den Port nicht öffnen ohne den Portknockink-Client dabei zu haben. Das ist ein Nachteil wenn man nicht am eigenen Pc sitzt...

mfg
cane

Also im neuen Kernel hat Iptables die Funktion HASH mit der man IPs droppen kann.
Probiert habe ich es jedoch noch nicht.

Die Frage ist halt echt, was kann ACID alles, ein komplettes IDS wäre halt schon was schönes ;)
Hat jemand von euch Erfahrungen mit ACID?

Ein IDS wertet nur aus, verhindert aber keinerlei Zugriffe.

Dazu dient ein Intrusion Prevention System (IPS) - ein Beispiel wäre snort_inline...

Mehr zu ACID auf der Projekthomepage: http://acidlab.sourceforge.net/

mfg
cane

Am besten ist es die Authentifizierung über Keys zu machen, dann hat man die Probleme nicht. Der Angreifer wird gleich abgewiesen, wenn er keinen Schlüssel übergibt. Das einzigste Problem ist eben dann wieder, dass du dich nicht von überall her einloggen kannst.

Gruss

Jochen

jep so isses leider, und die Keys möchte ich bei manchen Rechnern echt nicht aufspielen, wer weiß wo die überall hingespeichert werden etc

Wenn du deinen Public Key verteilst ist das nicht so tragisch, mit dem alleine kann man nichts anfangen.

<yoda speech>Schützen deinen Private Key, du musst</yoda speech> :D

Also am besten den Rechner mit dem Private Key gut absichern und ein gutes Passwort wählen, dann sollte nicht unbedingt was tragisches passieren.