[sage] ssh-angriffe haeufen sich ...

Wed Apr 23 13:46:20 CEST 2008

On Wed, Apr 23, 2008 at 01:11:08PM +0200, Joerg Mertin wrote:

Na ja, Ich hab ne dynamische IP und das SSH-Anklopfen gehört zum guten Ton :-}

Ich sehe tagtäglich brute-force attacken vulgo Passwort raten auf meinem rechner,
aber die Wahl guter Passwörter und entfernen unnötiger User hilft.
Da ich als Road-Warrior meine ssh-keys nicht immer dabei haben kann,
muß halt an der Wurzel gehärtet werden.

Die unten genannten Tools greifen dann bei permanentem nervigen anklopfen.

Wesentlich blöder ist es, falls so ein Rate-tool beim ersten mal richtig rät,
denn da würde nur die Luftspalt-Firewall helfen.

	- Ralf

> Keine sorge. Port knocking ist eingerichtet - und fail2ban war mir - als es 
> entwickelt wurde - etwas zu lasch. Habe da meinen eigenen Daemon geschrieben 
> gehabt der die Daten aus der ulog-syslog extension ausgewertet hat - und 
> dementsprechend reagiert hat. Der ist da etwas sensibler :D Glaube - fail2ban 
> ist mittlerweile auch so sensibel ;)
> 
> Joerg
> 
> On Wednesday, 23. April 2008 12:52:38 Alexander Stielau wrote:
> > Am Wed, Apr 23, 2008 at 12:03:42PM +0200 schrieb Joerg Mertin:
> > > Es scheint dass mal wieder eine Brute-Force Password Probing
> > > Angriffswelle auf den SSH Port stattfindet.
> > > Meine Firewall hat mittlerweile 26 Angriffsversuche innerhalb von 4
> > > Stunden identifiziert und geblockt ... (Da ich eine Statische IP Habe -
> > > kennen die mich mittlerweile).
> > >
> > > Am besten Ihr stellt eure SSH-Ports um auf etwas anderes als 22 ;)
> >
> > Wenn Dich das Portabklopfen stört, und Du wirklich keine ssh-keys
> > verwendest, solltest Du statt ziemlich alberner obscurity lieber fail2ban
> > oder portknocking einsetzen.
> >
> > Aleks
> 
> 
> 
> -- 
> Many pages make a thick book, except for pocket Bibles which are on very
> very thin paper.
> ------------------------------------------------------------------------
> | Joerg Mertin              :  smurphy at solsys.org                (Home)|
> | in Forchheim/Germany      :  smurphy at linux.de                  (Alt1)|
> | Stardust's LiNUX System   :                                          |
> | Web: http://www.solsys.org                                           |
> ------------------------------------------------------------------------
> PGP: Public Key Server - Get "0x98885d97170b8b7a"
> 
> _______________________________________________
> SAGE mailing list
> SAGE at guug.de
> http://lists.guug.de/mailman/listinfo/sage

-- 

[-----------------------v------------------------------------------------------]
[ Ralf Zessin           | E-Mail: Ralf.Zessin at rz-guru.de                       ]
[ Pflugstr.24           |    Tel: (+49) 69 / 95 29 47 - 31  ,  Fax: - 32       ]
[ D-60431 Frankfurt     | PGP-Fingerprint:  ( 2048/13742E99 2000/02/25 )       ]
[ http://www.rz-guru.de | 97 E3 86 6D AC 8C 3C 1A  41 01 B5 49 B2 8A 11 81     ]
[-----------------------^------------------------------------------------------]