Und nein, ich hab nicht das Logging abgedreht, sondern mit iptables und Perl Aktionen gesetzt.

Nicht, dass diese Brute Force Attacken bei meinen Systemen etwas bringen würeden – schließlich hab ich ja den RootLogin disabled und Anmeldungen nur per Key erlaubt, aber die Einträge in den Logfiles haben mich einfach genervt.

Auf meinen aktuelleren Maschinen (Woody und Sarge) hab ein paar iptable-rules von Andrew Pollock im Einsatz, die das recent Modul von iptables nutzen, um wiederkehrende SSH-Verbindungsaufbauten zu zählen und nach einer gewissen Anzahl zu blocken. Zur Sicherheit gibts auch eine Whitelist, damit man sich nicht selber aussperrt. ;)

Auf einer alten Maschine (die ich hoffentlich bald neu aufsetzen werde) hab ich leider kein recent Modul für iptables. Dort hab ich jetzt sshblack von Charlie Pettinger im Einsatz. Das ist ein kleines Perl-Script (welch Überraschung), welches das secure bzw. message Log überwacht und bei wiederkehrenden Anmeldefehlschlägen die SSH-Verbindungsaufbauten dropped.

Leider hab ich das TARPIT Modul in meinen Kernels nicht aktiviert, sonst könnte ich statt einem DROP auch ein TARPIT als Ziel in meinen iptables chains angeben. Das würde die Angreifer zumindest ein wenig aufhalten.

Jetzt schau ich mir mal an, woher diese Angriffe im Detail kommen. Wenns „lokale” sind, werd ich wohl mal Tattle anwerfen, um den Providern ein bissl Feuer unter dem Hintern zu machen.

Tagged as: Linux, Wissen_ist_Macht | Author: Martin Leyrer
[Sonntag, 20050717, 18:39 | permanent link | 0 Kommentar(e)