(Debian) SSHD über TCP-Wrapper starten

12/11/2010 - 19:27 von Thomas - Pronto - Wildgruber | Report spam
Hi Group,

ich würde mir gerne die Asseln vom Hals halten, die mit Brute
Force versuchen meinen SSH Zugang zu meinem Server zu knacken.
Nicht wirklich schlimm, mein Passwort ist streng genug um gut
schlafen zu können aber schön schauts im LogFile auch nicht aus.

Beim FTP Server setze ich schon ein BlockHost Skript ein, was die
IP der Assel nach einem guten Dutzend falschen Anmeldeversuchen in
der hosts.[allow|deny] mit dem deny-Flag parkt und das
funktioniert auch recht zuverlàssig aber damit das funktioniert,
muss ich den Dienst über einen TCP-Wrapper (xinetd) starten. Das
tut der SSHD nicht out of the box...

...jetzt habe ich einige Threads in diversen Foren gelesen und
dort wurde abgewunken und gemeint einen SSH Daemon startet man
nicht über einen TCP-Wrapper... Okay!

Mir leuchtet nicht ein warum aber gut, ich lasse mir gerne etwas
sagen aber kann es auch jemand begründen? Gàbe es eine andere
Möglichkeit, die Assel-IPs zum SSHD irgendwo vorübergehen im
Nirvana zu parken?

Thx & bye Tom
 

Lesen sie die antworten

#1 Helmut
12/11/2010 - 20:06 | Warnen spam
Hallo, Thomas,

Du meintest am 12.11.10:

ich würde mir gerne die Asseln vom Hals halten, die mit Brute
Force versuchen meinen SSH Zugang zu meinem Server zu knacken.
Nicht wirklich schlimm, mein Passwort ist streng genug um gut
schlafen zu können aber schön schauts im LogFile auch nicht aus.



Mein Vorschlag:

im Start-Skript, das "iptables" startet, den Block

# -

WAN=ppp+ eth1
IPTABLES_BIN=/usr/sbin/iptables
# diese beiden Variablen sind anzupassen

for Interf in $WAN; do
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
-m recent --set --name SSH
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
-m recent --rcheck --seconds 60 --hitcount 4 --rttl --name SSH \
-j REJECT --reject-with tcp-reset
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
-j ACCEPT
done

# Florian Frank in der "linuxmuster"-Mailingliste, 17. Sept. 2005
# pro Absender-IP max. 3 Verbindungsanfragen pro Minute; blockt Skript-Kiddies
# "rcheck" statt "update": Sven Geggus, 22. Sept. 05,
# de.comp.os.unix.networking.misc
# siehe auch
# http://www.heise.de/security/SSH-vo...l/142155/3

# -

ergànzen.

Das Skript blockt, wenn mehr als 3 Versuche binnen 60 Sekunden
auflaufen.


Làsst sich auch für FTP (Port 21) einsetzen.

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".

Ähnliche fragen