C
COOLover
Hallo zusammen,
ich habe schon die Forum Suche udn die Glaskugel Google befragt, doch leider nichts passendes gefunden und hoffe jetzt, das einer von euch mir helfen kann.
Und zwar bekomme ich z.Zt. vermehrt angriffe auf SSHd, doch kann/will den SSH Port nicht umlegen.
Daher suche ich eine möglichkeit, das ich Attacken deaktivieren oder sperren kann.
z.Zt. führe ich täglich ein Statistikscript durch, welches die /var/log/auth.log duchforstet und mir ausgibt, welche ips versucht haben mit welchen usern einzuloggen.
z.B:
Anhand dieser statistik, sperre ich die einzelnen IPs, welches aber erst im nachhinein nichts bringt.
Von daher brauche ich eins welches schnell reagiert
habe bei der Glaskugel folgendes gefunden, doch bin mir nicht sicher ob er SSH komplett oder nur für die IP sperrt
und 60 Sekunden sind auch zu wenig, da würde ich 3600Sek (60min) machen.
wenn ich den code oben nehmen würde, muss ich aus das
aus meinem IPTables script entfernen?
Würde mich über hilfreiche antworten freuen
(Debian 3.x)
ich habe schon die Forum Suche udn die Glaskugel Google befragt, doch leider nichts passendes gefunden und hoffe jetzt, das einer von euch mir helfen kann.
Und zwar bekomme ich z.Zt. vermehrt angriffe auf SSHd, doch kann/will den SSH Port nicht umlegen.
Daher suche ich eine möglichkeit, das ich Attacken deaktivieren oder sperren kann.
z.Zt. führe ich täglich ein Statistikscript durch, welches die /var/log/auth.log duchforstet und mir ausgibt, welche ips versucht haben mit welchen usern einzuloggen.
z.B:
Code:
Probierte Usernamen:
52 user
72 test
IPs:
38 196.29.***.***
489 211.137.***.***
834 202.181.***.***
2654 61.218.***.***Anhand dieser statistik, sperre ich die einzelnen IPs, welches aber erst im nachhinein nichts bringt.
Von daher brauche ich eins welches schnell reagiert
habe bei der Glaskugel folgendes gefunden, doch bin mir nicht sicher ob er SSH komplett oder nur für die IP sperrt
Code:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_force
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
Das erlaubt drei Zugriffe pro Minute auf den ssh-Dienst und macht dann für 60 Sekunden dicht. Sehr schick.
Die Whitelist muss natürlich entsprechend eingerichtet werden:
iptables -N SSH_WHITELIST
iptables -A SSH_WHITELIST -s $TRUSTED_HOST -m recent --remove --name SSH -j ACCEPTund 60 Sekunden sind auch zu wenig, da würde ich 3600Sek (60min) machen.
wenn ich den code oben nehmen würde, muss ich aus das
Code:
# SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPTWürde mich über hilfreiche antworten freuen
(Debian 3.x)
