Mit iptables gegen SSH Brute-Force Attacken
15. Februar 2005 | 
Autor: Andrew Pollok beschreibt in seinen Blog eine sehr pfiffige Methode um mit den immer schlimmer werdenen Brute-Force Attacken auf den SSH-Dienst umzugehen:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set \ --name SSH -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl \ --name SSH -j LOG --log-prefix "SSH_brute_force " iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 \ --hitcount 4 --rttl --name SSH -j DROP
Obiges erlaubt maximal 3 Verbindungs-Versuche pro Minute von jeder IP-Adresse im Internet. Sollte diese Marke überschritten werden muss eine Minute gewartet werden bis wieder Verbindungen zugelassen werden.
Update 22.08.2005: Siehe auch ssh brute force Blocker zum Dritten
Wenn man dann zusätzlich noc
Wenn man dann zusätzlich noch seinen SSHd auf einen anderen Port als 22/tcp bindet, hat man eigentlich ziemlich Ruhe. (siehe sshd_config in der Direktive ‘Port’)
Meine Lösung momentan:
- SSH übers Internet nur noch von einer handvoll trusted hosts
- für SSH Zugriffe (zum Beispiel durch Dialup-Hosts) auf openvpn zurückgreifen und den Clients eine trusted IP geben.
- wenn möglich SSH Zugriffe nur noch übers Management-Lan erlauben
Vielleicht etwas viel Aufwand für ‘Joe Average User’ aber ein bis zwei Tipps davon kann jeder problemlos umsetzen wenn er Kontrolle übers System hat.
Als recht effektiv hat sich b
Als recht effektiv hat sich bei mir herausgestellt nur die Teledoof-Netze und beispielsweise den Arbeitsplatz durchzulassen. Falls man doch mal aus nem anderen Netz drauf zugreifen muss kann man die IP per PHP-Script freigeben.
Ich hätte das gerne mal ausp
Ich hätte das gerne mal ausprobiert, aber der LinkSys-Router, auf dem bei mir iptables läuft, hat das recent-Modul nicht. Somit funktionieren diese Regeln in diesem Fall leider nicht…
Funktioniert das pro IP oder
Funktioniert das pro IP oder bedeutet das, wenn ein Skript-Kiddie 3 mal versucht hat sich einzuloggen, komme auch ich innerhalb der nächsten 60 Sekunden nicht mehr zum Zuge?
Ansonsten: super Idee!
Update:
iptables -A INPU
Update:
jmd. ner idee wie man das auf openBSD ( PF ) umsezt ? hier gibts kein ausfürhbares script was das ruleset verändert. nur ne /etc/pf.conf
[...] image.animation_mode auf “once” setzen und das dauer-gif-gezappel hat ein ende kann mal interessant sein: http://www.my-two-cents.de/2003/09/16#unterscheidung-von-ice-zuegen xen: http://www.heise.de/open/news/foren/go.shtml?read=1&msg_id=11779890&forum_id=109559 Installing a large Linux cluster: Part 1: Introduction and hardware configuration mit iptables gegen ssh-BruteForce: http://www.ende-der-vernunft.org/2005/02/15/mit-iptables-gegen-ssh-brute-force-attacken/ ” /> a.rsswidget{display:inline !important;}a.rsswidget img{background:orange;color:white;} .recentcomments a{display:inline !important;padding: 0 !important;margin: 0 !important;} /**/ [...]