System absichern

**Holger Voss** · 23.10.04, 19:13

Hallo,

ich habe mir einen Root Server gemietet und möchte nun einiges sperren.
Folgendes Problem:

in einigen log-dateien sind einträge die von einer Brute-force attake stammen.
da es sich um ip's aus China, Japan & Russland handelt möchte ich diese länder für www ftp & ssh sperren.

Bitte um Hilfe

**Terran Marine** · 23.10.04, 20:03

Nabend,

lässt sich mit iptables einstellen, die Schwierigkeit wird nur sein, die IP-Adress-Bereiche dieser Lände ordentlich zusammen zu fassen, da der Adressraum doch recht weitläufig sein kann.

Gruß
Terran

**Holger Voss** · 23.10.04, 20:06

hi,
und wie würde der befehl aussehen um z.b 217.55.14.21 für www ftp & ssh zu sperren ?

**msi** · 23.10.04, 20:16

iptables -I INPUT -p tcp -s $IP -p tcp --dport $DPORT -j REJECT

$IP und $DPORT entspr. anpassen.

**Terran Marine** · 23.10.04, 20:18

Zitat von Holger Voss

hi,
und wie würde der befehl aussehen um z.b 217.55.14.21 für www ftp & ssh zu sperren ?

iptables -A INPUT -p TCP -s 217.55.14.21 --dport 21:22 -j DROP

Eventuell noch das Interface angeben.

Gruß
Terran

**Stormbringer** · 23.10.04, 20:34

Du könntest die betreffenden Netze zusätzlich auch in /etc/hosts.deny eintragen.
Beispiel:

Code:

ALL: 218.21.64.0/255.255.192.0 : DENY
ALL: 11.161.41.0/255.255.255.0 : DENY
ALL: 218.85.0.0/255.255.128.0 : DENY
ALL: 61.129.0.0/255.255.0.0 : DENY

Gruß

**RapidMax** · 23.10.04, 20:34

Einfach ein paar Länder auszusperren bringt nichts für die Sicherheit. Cracker gibts es auch bei dir um die Ecke. Schau das dein System aktuell und sicher bleibt und dann kannst du die Angriffsversuche getrost ignorieren.

Gruss, Andy

**Holger Voss** · 23.10.04, 20:47

kann ich auch einen bereich ausgrenzen z.b 217.55.22.1 - 217.55.22.255

**Stormbringer** · 23.10.04, 20:49

Zitat von Holger Voss

kann ich auch einen bereich ausgrenzen z.b 217.55.22.1 - 217.55.22.255

= 217.55.22.0/255.255.255.0, bzw. 217.55.22.0/24

Gruß

chartreuse · 11.01.06, 15:16

Könnte ich auch so etwas einstellen:

IP 123.456.789.0 hat versucht sich einzuloggen und dies wurde 3 x verweigert, dann wird diese IP für einen bestimmten Zeitrauch gesperrt?!

**DaGrrr** · 11.01.06, 15:20

Ja, schau dir mal fail2ban an.

Gibt dazu schon ein paar Threads im Forum unter anderem hier.

Grüße
DaGrrr

**bla!zilla** · 11.01.06, 18:43

Ich habe selber mal einen Root-Server bei Strato betrieben, und ich kann bestätigen das ein gut aufgesetzter Paketfilter mit IPTables schon viel, viel abfängt. Mit etwas gesunden Menschenverstand kann man schon viel erreichen. Keine unnötigen Dienste anbieten, sichere Kennwörter, aktuelle Security-Updates installieren und ein sauberer Paketfilter bringen dich schon sehr viel weiter.

Du könntest dir mal den GFI LAN Guard Security Scanner in der Demo-Version runterladen und damit dein System scannen. Der Scanner erkennt auch Schwachstellen im System und meldet diese.