Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH-Server IP-Sperren?
Hi,
für Kunden habe ich einen SSH-Server installiert. Da jeden morgen hunderte von fehlgeschlagenen Loginversuchen im Log sind, suchte ich nach einer Lösung. Am liebsten wäre mir gewesen, wenn nach 2 fehlgeschlagenen Loginversuche eine Sperre von 10 Minuten.
Das MaxAuthTries beim SSH-Server funktioniert bei mir leider nicht. Kommt diese Fehlermeldung: Bad configuration option: MaxAuthTries
Weiß jemand wie man sowas einfach umsetzen kann?
oafish
Sebastian Henrich
24.01.06, 14:42
Für die Option "MaxAuthTries" wird mindestens ein OpenSSH in der Version 3.8 benötigt. Eventuell hilft dir also ein Update.
Gruß
Sebastian
die verwendung eines anderen als den standard ssh-port (22) wirkt bei skriptgestützten bruteforce-angriffen wunder. wenn praktikabel solltest du auf dem system die passwort-authentifizierung gegen schlüssel austauschen. eine kombination aus beidem ist eine gute sache.
gruss, grimse
Das sollte mit Sshdfilter (http://www.csc.liv.ac.uk/~greg/sshdfilter/) machbar sein.
Sshdfilter ist ein wrapper für sshd. Er startet sshd mit den Optionen -e und -D und liest die authentifizierungs Versuche direkt vom stderr. Bei mehreren fehlgeschlagenen authentifizierungs Versuchen macht er einen Eintrag in die Firewall:
iptables -A SSHD $interface -p tcp -s $ip --dport 22 -j DROP
Nach einer konfigurierbaren Zeitspanne wird dieser gelöscht.
Das einzig schwierige ist die Installation. Es müssen Veränderungen am SSH init Script und der Firewall vorgenommen werden. Sshdfilter (Version 1.3.5) unterstützt Debian 3.1 Redhat 7.3 und Fedora FC1. Bei anderen Distributionen müssten einige manuelle Veränderungen vorgenommen werden schätze ich.
ich kenne zwar sshdfilter nicht, aber fail2ban macht nix anderes!
is noch dazu wirklcih sehr sehr kinderleicht einzurichten!
fail2band schickt dir sogar ne mail wenn das jemand zu oft probiert!
seid ich das hab sind die logs am rootserver so schön klein...:D
ausserdem kann fail2ban auch noch andere dienste checken - er macht das auch über die logs unt mittels iptables!
check mal denyhost, das funktioniert wirklich gut.
http://denyhosts.sourceforge.net/
Ciao
Alessandro
Hi,
ich verwende OpenSSH 3.8.1p1 Debian Sarge. Leider funktioniert das MaxAuthTries nicht. Die anderen Lösungen sind zwar gut, aber ich kann beispielsweise kein Python auf diesen Maschinen installieren. Da sind mir einfach die Hände gebunden.
Vielleicht hat noch jemand einen Tipp
Grüßle
oafish
Auf backports.org findest du OpenSSH 4.2p1-Pakete für Debian Sarge:
http://www.backports.org/debian/pool/main/o/openssh/
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.