Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
-
dga
- Beiträge: 76
- Registriert: 26.07.2004 23:19:41
Beitrag
von dga » 28.12.2004 20:43:55
Hallo
Da es immer wieder vorkommt dass via SSH diverse Benutzernamen und Passworte ausprobiert werden um sich anzumelden (Im Log-File ersichtlich) möchte ich die IP nach x Fehlversuchen sperren.
Hat das jemand schon einmal gemacht?
Mir ist folgende Lösung in den Sinn gekommen: Ich könnte das Log-File auth.log via Bash Script nach Einträgen wie
durchsuchen und dann diese IP auslesen und in die hosts.deny Datei reinschreiben. Dieses Skript könnte ich dann via Cronjob regelmässig ausführen. Da diese Anmeldeversuche aber meistens innerhalb von Sekunden ausgeführt werden müsste dieses Skript beinahe alle Sekunden ausgeführt werden was immer noch nicht garantiert, dass eine IP nach x Fehlversuchen gesperrt wird...ausserdem ist es wohl nicht sinnvoll ein Skript alle Sekunden auszuführen wenn diese Anmeldeversuche vielleicht einmal pro Stunde gemacht werden...
-
KBDCALLS
- Moderator
- Beiträge: 22447
- Registriert: 24.12.2003 21:26:55
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
Beitrag
von KBDCALLS » 28.12.2004 21:26:19
Schalte doch die Passwortauthetitfizierung ab., so das man sich nur noch per Key einloggen kann.
ChallengeResponseAuthentication no
PasswordAuthentication no
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
- Kennst du unsere Verhaltensregeln
- Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
-
dga
- Beiträge: 76
- Registriert: 26.07.2004 23:19:41
Beitrag
von dga » 28.12.2004 21:29:36
Naja, ich hab natürlich den Key nicht immer bei mir...! Das heisst es muss möglich sein, dass ich mich von "irgendwoher" in kurzer Zeit am System anmelden kann...
-
KBDCALLS
- Moderator
- Beiträge: 22447
- Registriert: 24.12.2003 21:26:55
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
Beitrag
von KBDCALLS » 28.12.2004 21:34:15
Vieleicht ist das dann was für dich
LoginGraceTime
Wenn der USER nach einer bestimmten Zeit nicht eingeloggt ist wird abgebrochen. Default ist 120 Sekunden
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
- Kennst du unsere Verhaltensregeln
- Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
-
Feuerzwerg
- Beiträge: 105
- Registriert: 28.09.2002 15:29:30
- Wohnort: Saarbrücken
-
Kontaktdaten:
Beitrag
von Feuerzwerg » 28.12.2004 21:37:37
Du koenntest den ssh-Server auf nen anderen Port legen oder wie KBDCALLS schon gesagt hat, die authentifizierung ueber Passwort deaktivieren und dafuer nen 2. ssh-Server auf nem anderen Port starten, der auch Passwoerter akzeptiert. Letzeres halt ich ehrlich gesagt fuer die bessere Loesung, denn es gibt einige Admins, die agehenden Traffic filtern und dann oft nur bestimmte TCP-Ports durchlassen. Da hat man dann zumindest noch die Moeglichkeit sich mit key einzuloggen. Du kannst den Server ja auch auf Port 80 legen. Dann kommst du auch dann ran, wenn der Firewall-admin ssh nicht kennt und deshalb blockt. Das kommt leider haeufiger vor als man denkt
-
shh
- Beiträge: 140
- Registriert: 16.06.2002 14:29:44
Beitrag
von shh » 29.12.2004 11:09:48
KBDCALLS hat geschrieben:Vieleicht ist das dann was für dich
LoginGraceTime
Wenn der USER nach einer bestimmten Zeit nicht eingeloggt ist wird abgebrochen. Default ist 120 Sekunden
Das dürfte leider nicht viel helfen.
Dieser Wurm(?) geht bei den Loginversuchen ganz unterschiedlich vor. Meistens ändert er aber den Loginnamen schon nach ein paar Versuchen und nach wenigen Sekunden. Dann hat man nen neuen USER und LoginGraceTime fängt erneut zum zählen an.
Oder wirkt das ganz unabhängig vom Usernamen, nur abhängig von der Netzwerkverbindung?
Gruß
shh
