IP Block bei falschem PW oder Usernamen

[Marcel] · Beitrag von **[Marcel]** » 04.01.2006 18:42:03

Hallo,

wie kann ich es unter Linux einrichten das IP Adressen gesperrt werden wenn sie zu oft das PW oder zu oft einen falschen Benutzernamen eingeben haben?

Als ich heute meine auth.log angesehen habe, ist es mir in den Sinn gekommen das dies doch recht sinnvoll wäre ,)

Code: Alles auswählen

Jan  4 15:15:59 h250518 sshd[27494]: Illegal user molly from ::ffff:213.232.95.26
Jan  4 15:15:59 h250518 sshd[27496]: Illegal user sophie from ::ffff:213.232.95.26
Jan  4 15:16:00 h250518 sshd[27498]: Illegal user sophie from ::ffff:213.232.95.26
Jan  4 15:16:00 h250518 sshd[27500]: Illegal user sophie from ::ffff:213.232.95.26
Jan  4 15:16:00 h250518 sshd[27502]: Illegal user sophie from ::ffff:213.232.95.26
Jan  4 15:16:01 h250518 sshd[27504]: Illegal user sophie from ::ffff:213.232.95.26
Jan  4 15:16:01 h250518 sshd[27506]: Illegal user sophie from ::ffff:213.232.95.26
Jan  4 15:16:02 h250518 sshd[27508]: Illegal user sophie from ::ffff:213.232.95.26
Jan  4 15:16:02 h250518 sshd[27510]: Illegal user sophie from ::ffff:213.232.95.26
Jan  4 15:16:03 h250518 sshd[27512]: Illegal user sophie from ::ffff:213.232.95.26
Jan  4 15:16:03 h250518 sshd[27514]: Illegal user alexa from ::ffff:213.232.95.26
Jan  4 15:16:03 h250518 sshd[27516]: Illegal user alexa from ::ffff:213.232.95.26
Jan  4 15:16:04 h250518 sshd[27518]: Illegal user alexa from ::ffff:213.232.95.26
Jan  4 15:16:04 h250518 sshd[27520]: Illegal user alexa from ::ffff:213.232.95.26
Jan  4 15:16:04 h250518 sshd[27522]: Illegal user alexa from ::ffff:213.232.95.26
Jan  4 15:16:05 h250518 sshd[27524]: Illegal user alexa from ::ffff:213.232.95.26
Jan  4 15:16:05 h250518 sshd[27526]: Illegal user alexa from ::ffff:213.232.95.26
Jan  4 15:16:05 h250518 sshd[27528]: Illegal user alexa from ::ffff:213.232.95.26
Jan  4 15:16:06 h250518 sshd[27530]: Illegal user alexa from ::ffff:213.232.95.26
Jan  4 15:16:06 h250518 sshd[27532]: Illegal user claire from ::ffff:213.232.95.26
Jan  4 15:16:07 h250518 sshd[27534]: Illegal user claire from ::ffff:213.232.95.26
Jan  4 15:16:07 h250518 sshd[27536]: Illegal user claire from ::ffff:213.232.95.26

usw

MfG

Marcel

Bert · Beitrag von **Bert** » 04.01.2006 18:59:30

Vielleicht hilft Dir der [1] Thread weiter.

[1] http://www.debianforum.de/forum/viewtopic.php?t=47353

Bert

herrchen · Beitrag von **herrchen** » 04.01.2006 19:00:03

[Marcel] hat geschrieben: Als ich heute meine auth.log angesehen habe, ist es mir in den Sinn gekommen das dies doch recht sinnvoll wäre

das ist ansichtssache. ich halte es für besser, nur den sshd auf einen hohen, nicht vergebenen port zu legen.
such mal etwas hier im forum, um die argumente zu lesen.

herrchen

hulla66 · Beitrag von **hulla66** » 04.01.2006 19:10:35

Genau das gleiche Problem hatte ich auch mit meinem Server. Seit dem benutze ich key-basierte Authentifikation und seit dem hab ich das nie mehr erlebt.

Ist auch gar nicht schwer einzurichten. Vor allem nimm wirklich einen exotischen Port. Das hilft auch schon mal.

Gruß

C_A · Beitrag von **C_A** » 04.01.2006 19:17:21

Evt. http://www.csc.liv.ac.uk/~greg/sshdfilter/

schoeppchen · Beitrag von **schoeppchen** » 04.01.2006 20:41:48

Ich nutze fail2ban, das funktioniert absolut prächtig. Ist ein Debianpaket, also einfach per apt-get install zu installieren.

swar0g · Beitrag von **swar0g** » 05.01.2006 14:22:00

Das einfachste wäre: Lass den ssh Server auf einem andernen Port laufen. Hab ich auch getan, seit dem bekomme ich diese Meldungen nicht mehr. Scheint sich wohl nur um skripte handeln, die nach Null- bzw. nach Standartpasswörtern auf dem default 22 Port ausschau halten, gefährlich wird es, falls du deine Passwörter gut gewählt hast, nicht.

mistersixt · Beitrag von **mistersixt** » 06.01.2006 08:38:16

fail2ban ist wirklich Klasse für diese Zwecke, ansonsten kann ich auch knockd empfehlen, ein sehr einfach zu konfigurierender Port-Knocking Daemon, der erst Port 22 aufmacht wenn vorher eine bestimmte Sequenz von TCP- und/oder UDP-Paketen in einem bestimmten Zeitraum am Rechner angekommen sind.

Gruss, mistersixt.

Sheridan · Beitrag von **Sheridan** » 25.05.2006 17:52:04

Hab mir den Vorschlag jetzt auch mal zu Herzen genommen, und auf meiner Stable Kiste das fail2ban package aus etch installiert.

Läuft soweit auch ganz gut, bis auf eben diese Fehlermeldung im fail2ban.log:

Code: Alles auswählen

2006-05-25 17:34:37,206 ERROR: Please check the format and your locale settings.
2006-05-25 17:34:37,216 ERROR: time data did not match format:  data=May 25 17:30:01  fmt=%b %d %H:%M:%S

Bin ich blöd oder stimmt das Format und er meckert Blödsinn?

greets & thanks
Sheridan

Edit by Snoopy:
Code-Tags für die Leserlichkeit eingefügt.

chroiss · Beitrag von **chroiss** » 25.05.2006 20:56:14

mit iptables wäre es eigentlich auch ganz einfach zu lösen ...
(sofern du damit schon arbeitest , als firewall , würde es wenig aufwand machen)

Code: Alles auswählen


######################################################################################
# Port 22 : Wer es beim zweiten Mal nicht geschafft hat wird für 200 Sekunden gesperrt
######################################################################################

IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
IPTABLES -A INPUT -p tcp --dport 22 -m recent --update --seconds 200 --hitcount 2 --rttl  --name SSH -j LOG --log-prefix "SSH BRUTE FORCE"
IPTABLES -A INPUT -p tcp --dport 22 -m recent --update --seconds 200  --hitcount 2 --rttl --name SSH -j DROP

somit kannst du die versuche und die zeit einstellen , wie lange die ip gesperrt bleiben soll.

gruss chroiss

Sheridan · Beitrag von **Sheridan** » 25.05.2006 21:10:25

Super. Danke.

Die Lösung gefällt mir auch sehr gut. Hab auf meiner Kiste derzeit nur das Standard IPTables Script von ISPConfig laufen.
Muss meines vorher noch etwas aktualisieren und wieder auf einen entsprechenden Stand bringen, da werd ich das gleich mal versuchen.

Vielen Dank nochmals.

greets
Sheridan

Sheridan · Beitrag von **Sheridan** » 30.05.2006 00:37:49

So. Ich hab jetzt meine locales auf en_US ISO-8859-1 zurück gestellt.
Sensationell, jetzt tauchen auf einmal einige sehr ominöse Fehlermeldungen nicht mehr auf. Auch die oben Beschriebe ist weg und fail2ban läuft wie ein Glöckerl.

UTF8 unter Sarge ist also doch keine gute Idee.

greets
Sheridan

scheuri · Beitrag von **scheuri** » 30.05.2006 09:50:26

Kurze Zusammenfassung...

fail2ban
denyhost
Port von 22 auf etwas anderes setzen (macht sehr viel aus!)

mfg
scheuri

Sarem_Avuton · Beitrag von **Sarem_Avuton** » 30.05.2006 10:20:51

Hallo,

also ich bekomme diese Fehlermeldung bei fail2ban (auf Sarge Server mit dem Etch fail2ban Paket) auch

Code: Alles auswählen

2006-05-25 17:34:37,206 ERROR: Please check the format and your locale settings.
2006-05-25 17:34:37,216 ERROR: time data did not match format:  data=May 25 17:30:01  fmt=%b %d %H:%M:%S

habe bei locales de_DE@euro ISO-8859-15 und en_US ISO-8859-1 (als Stand.)
Keine Ahnung warum der Fehler kommt.
Oder wird die Änderung von locales erst wie bei MS üblich durch einen reboot aktiv ?

Grüße Jörg

PS: Ich drops...sollte mich natürlich mal neuanmelden *kopfschüttel* Naja jetzt zeigt locale auch en_US nun mal fail2ban starten.

PPS: So funtzt auch bei mir.

Sheridan · Beitrag von **Sheridan** » 30.05.2006 19:37:17

Sarem_Avuton hat geschrieben:
PS: Ich drops...sollte mich natürlich mal neuanmelden *kopfschüttel* Naja jetzt zeigt locale auch en_US nun mal fail2ban starten.

PPS: So funtzt auch bei mir.

Na passt. Ich seh das mal als Bestätigung.

greets
Sheridan

IP Block bei falschem PW oder Usernamen

IP Block bei falschem PW oder Usernamen

Re: IP Block bei falschem PW oder Usernamen