Kommentare zu: Mit iptables gegen SSH Brute-Force Attacken

Von: bensKnowledgeBlog - mooh.it :: links fuer weihnachten

bensKnowledgeBlog - mooh.it :: links fuer weihnachten — Wed, 27 Dec 2006 22:10:12 +0000

[...] image.animation_mode auf “once” setzen und das dauer-gif-gezappel hat ein ende kann mal interessant sein: http://www.my-two-cents.de/2003/09/16#unterscheidung-von-ice-zuegen xen: http://www.heise.de/open/news/foren/go.shtml?read=1&msg_id=11779890&forum_id=109559 Installing a large Linux cluster: Part 1: Introduction and hardware configuration mit iptables gegen ssh-BruteForce: http://www.ende-der-vernunft.org/2005/02/15/mit-iptables-gegen-ssh-brute-force-attacken/ ” /> a.rsswidget{display:inline !important;}a.rsswidget img{background:orange;color:white;} .recentcomments a{display:inline !important;padding: 0 !important;margin: 0 !important;} /**/ [...]

Von: giana

giana — Thu, 12 Jan 2006 14:39:04 +0000

jmd. ner idee wie man das auf openBSD ( PF ) umsezt ? hier gibts kein ausfürhbares script was das ruleset verändert. nur ne /etc/pf.conf

Von: Stefan Funke

Stefan Funke — Wed, 30 Nov -0001 00:00:00 +0000

Wenn man dann zusätzlich noc
Wenn man dann zusätzlich noch seinen SSHd auf einen anderen Port als 22/tcp bindet, hat man eigentlich ziemlich Ruhe. (siehe sshd_config in der Direktive ‘Port’)

Meine Lösung momentan:

- SSH übers Internet nur noch von einer handvoll trusted hosts
- für SSH Zugriffe (zum Beispiel durch Dialup-Hosts) auf openvpn zurückgreifen und den Clients eine trusted IP geben.
- wenn möglich SSH Zugriffe nur noch übers Management-Lan erlauben

Vielleicht etwas viel Aufwand für ‘Joe Average User’ aber ein bis zwei Tipps davon kann jeder problemlos umsetzen wenn er Kontrolle übers System hat.

Von: KnoedelDealer

KnoedelDealer — Wed, 30 Nov -0001 00:00:00 +0000

Als recht effektiv hat sich b
Als recht effektiv hat sich bei mir herausgestellt nur die Teledoof-Netze und beispielsweise den Arbeitsplatz durchzulassen. Falls man doch mal aus nem anderen Netz drauf zugreifen muss kann man die IP per PHP-Script freigeben.

Von: Bronski

Bronski — Wed, 30 Nov -0001 00:00:00 +0000

Ich hätte das gerne mal ausp
Ich hätte das gerne mal ausprobiert, aber der LinkSys-Router, auf dem bei mir iptables läuft, hat das recent-Modul nicht. Somit funktionieren diese Regeln in diesem Fall leider nicht…

Von: Jean Pierre

Jean Pierre — Wed, 30 Nov -0001 00:00:00 +0000

Funktioniert das pro IP oder
Funktioniert das pro IP oder bedeutet das, wenn ein Skript-Kiddie 3 mal versucht hat sich einzuloggen, komme auch ich innerhalb der nächsten 60 Sekunden nicht mehr zum Zuge?

Ansonsten: super Idee!

Von: Denny

Denny — Wed, 30 Nov -0001 00:00:00 +0000

Update: iptables -A INPU
Update:

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl \
--name SSH -j ULOG --ulog-prefix SSH_brute_force
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl \
--name SSH -j DROP

This has the (arguably) added benefit of not hosing any established SSH connections from the host that has made too many SSH connections in a short period of time, and allows for whitelisting.