[sage] ssh-angriffe haeufen sich ...

[Dirk Wetter]

Am 23.04.2008 12:52, Maximilian Wilhelm schrieb:
> Am Wednesday, den 23 April hub Joerg Mertin folgendes in die Tasten:
> 
>> Fuer die von euch - die etwas mit sicherheit zu tun haben...
> 
>> Es scheint dass mal wieder eine Brute-Force Password Probing Angriffswelle auf 
>> den SSH Port stattfindet.
>> Meine Firewall hat mittlerweile 26 Angriffsversuche innerhalb von 4 Stunden 
>> identifiziert und geblockt ... (Da ich eine Statische IP Habe - kennen die 
>> mich mittlerweile).
> 
>> Am besten Ihr stellt eure SSH-Ports um auf etwas anderes als 22 ;)
> 
> Das ist doch auch nur Obscurity.

Das stimmt. Doch die Menge der Scans im Internet ist derzeit halt dumm,
daher sind auch "dumme Gegenmaßnahmen" manchmal ein probates Mittel,
wenn man z.B. die Passwortqualität nicht im Griff hat.

Ggf. hilft das Recent-Iptables-Modul unter Linux, aber das ist nicht
ganz unkritisch von wegen etwaiger Seiteneffekte.

> Das kann man am elegantesten lösen, indem man nur noch public-key-auth
> zulässt und alles interaktive ausknipst. Danach kann man die Scans
> auch getrost via logcheck wegfiltern, weil eh nix mehr passiert...

So absolut würde ich nicht meine Hand ins Feuer legen, dass ein Stückchen
Software z.B. NIE ein mir nicht bekanntes Sicherheitsloch hat.




Best / Schöne Grüße,

	Dirk

--
Dr. Dirk Wetter, GUUG e.V.                 http://www.guug.de
GUUG-Frühjahrsfachgespräch 2008            http://www.guug.de/ffg
OpenSolaris Developer Conference           http://www.osdevcon.org
GUUG Hamburg                               http://www.guug.de/lokal/hamburg

OpenPGP key fingerprint: 2AD6 BE0F 9863 C82D 21B3 64E5 C967 34D8 11B7 C62F