DigitalBastard
13.10.05, 02:54
Hallo!
Ich habe da ein kleines Problem, bei dem ich eure Hilfe beanspruchen müsste:
Folgendes: Ich gehe gemütlich meine Logs durch und plötzlich entdecke ich, dass schon seit einer Woche anscheinend jemand versucht sich über Bruteforce-Dictionary Angriffe per ssh auf meinen kleinen Server (SuSE 9.3) zu verbinden.
Der Server wird zum "Remote Internet surfen" verwendet.
Das heisst, die am ihm angeschlossenen Windows-Clients verbinden sich über "X-Live" mit angeschaltetem X-Forwarding per ssh auf eben diesen lokalen Server und gehen dann mit Firefox unter Linux ins Netz. Kann man sich so ähnlich vorstellen, als ob man sich mit einem Terminal-Server verbindet.
Damit ich administrativ darauf zugreifen kann, wurde der Zugriff auch von 'aussen' per ssh erlaubt.
Firewall ist aktiviert und erlaubt als einzigen Dienst in der externen Zone ssh.
Soweit sogut.
Mein Ziel ist es, dass _nur_ noch von aussen der User 'root' sich per ssh verbinden kann. Denn das rootpasswort ist dementsprechend sicher, die Benutzerpasswörter lassen zu wünschen übrig.
Es nützt mir auch nichts, den Benutzern einfach keine Login-Shell a la /bin/false zur Verfügung zu stellen, denn lokal wird dies ja gebraucht.
Meine Maßnahmen gegen den ungebetenen Gast waren bisher, dass ich den Standardport für SSH geändert und die MaxAuthTries auf 1 gesetzt habe.
Ist es auch möglich, nach einer bestimmten Anzahl von fehlgeschlagenen Versuchen die IP gänzlich zu blocken?
Für jede Antwort bzw. Vorschlag wie man dieses Problem (auch anders) lösen könnte bin ich sehr dankbar!
mfg
DigitalBastard
Ich habe da ein kleines Problem, bei dem ich eure Hilfe beanspruchen müsste:
Folgendes: Ich gehe gemütlich meine Logs durch und plötzlich entdecke ich, dass schon seit einer Woche anscheinend jemand versucht sich über Bruteforce-Dictionary Angriffe per ssh auf meinen kleinen Server (SuSE 9.3) zu verbinden.
Der Server wird zum "Remote Internet surfen" verwendet.
Das heisst, die am ihm angeschlossenen Windows-Clients verbinden sich über "X-Live" mit angeschaltetem X-Forwarding per ssh auf eben diesen lokalen Server und gehen dann mit Firefox unter Linux ins Netz. Kann man sich so ähnlich vorstellen, als ob man sich mit einem Terminal-Server verbindet.
Damit ich administrativ darauf zugreifen kann, wurde der Zugriff auch von 'aussen' per ssh erlaubt.
Firewall ist aktiviert und erlaubt als einzigen Dienst in der externen Zone ssh.
Soweit sogut.
Mein Ziel ist es, dass _nur_ noch von aussen der User 'root' sich per ssh verbinden kann. Denn das rootpasswort ist dementsprechend sicher, die Benutzerpasswörter lassen zu wünschen übrig.
Es nützt mir auch nichts, den Benutzern einfach keine Login-Shell a la /bin/false zur Verfügung zu stellen, denn lokal wird dies ja gebraucht.
Meine Maßnahmen gegen den ungebetenen Gast waren bisher, dass ich den Standardport für SSH geändert und die MaxAuthTries auf 1 gesetzt habe.
Ist es auch möglich, nach einer bestimmten Anzahl von fehlgeschlagenen Versuchen die IP gänzlich zu blocken?
Für jede Antwort bzw. Vorschlag wie man dieses Problem (auch anders) lösen könnte bin ich sehr dankbar!
mfg
DigitalBastard