* J. Erik Heinz <list(at)jerik.de> [050914 21:48]:
Hallo Erik,
> ich hab mir letztens mal meine /var/log/auth.log angeschaut, und über
> 2 Monate hinweg rund 14.000 fehlgeschlagene ssh loginversuche von
> insgesamt 14 IP-Adressen.
> Erste Frage: ist da viel?
habe auch regelmäßig Leute, die bei einem meiner Rechner anklopfen.
Meist als root, und dem ist ja ein Login von außen idR grundsätzlich
nicht erlaubt.
> Sind wörterbuchattacken. Jetzt hab ich mir überlegt, die IpAdresse zu
> blocken. Hatte mir überlegt, ich checke die /var/log/auth.log und
> sobald ich 4 aufeinderfolgende Illegale logins habe, blocke ich die
> IP.
Damit hätte man dann eine einfache Methode den Rechner zu DOSen. Einfach
beliebige IP-Adressen spoofen und vier mal bei dir nachfragen und schon
ist die IP blockiert. Wenn du auch nochmal von außen an deinen Rechner
dran möchtest, dann würde ich das lassen.
Bei uns im Netz gibt es ein Limit von 200 Connect-Versuche innerhalb von
2 Minuten, was mir mehr Ärger gebracht hat, als es meine Rechner im
Netztwerk wirklich geschützt hätte (insbesondere weil das Skript anfangs
noch einen Bug hatte).
Ich würde auf sowas lieber verzichten und die User daran erinnern
vernünftigte Passwörter zuverwenden (was RSA/DSA einschliesst).
Gruss
Christian
-- Es gibt nur ein Problem, das schwieriger ist als Freunde zu gewinnen: Sie wieder loszuwerden. (Mark Twain, amerikan. Schriftsteller, 1835-1903) http://www.lackas.net/ Perl Delphi Linux MP3 Searchengines Domainchecker To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 14 Sep 2005 - 22:02:15 CEST