Onderwerp: SSH attacks

Beste WHT'ers,

Dagelijks wordt er op onze servers geprobeerd om ssh toegang te krijgen.

Is er misschien een manier om te zorgen dat, als een persoon meer dan x keer in een minuut probeert toegang te krijgen, er een mail wordt verzonden. En eventueel het IP automatisch te blokkeren?

Zoiets is natuurlijk via een shell scriptje te regelen (kijken in de /var/log/messages of /var/log/secure) en dan even een iptables commando uitvoeren.

Voor de gein even gekeken op 2 van onze servers, sinds 10 april (verder gaan de logs niet) 21100 pogingen op 1 server en 28722 op een andere.
Komt dus in de buurt van de 1000 per dag, dat zouden heel wat iptables entries worden

Kant en klaar:

http://www.rfxnetworks.com/proj.php

apf + bfd

Of het uitmaakt weet ik niet, maar van de grootste en langst durende attacks heb ik melding gemaakt.

Origineel geplaatst door royen99
Zoiets is natuurlijk via een shell scriptje te regelen (kijken in de /var/log/messages of /var/log/secure) en dan even een iptables commando uitvoeren.

Voor de gein even gekeken op 2 van onze servers, sinds 10 april (verder gaan de logs niet) 21100 pogingen op 1 server en 28722 op een andere.
Komt dus in de buurt van de 1000 per dag, dat zouden heel wat iptables entries worden

Valt wel mee. Het zijn scriptjes waarbij een paar duizend logons vanaf 1 ip adres gedaan worden. Dus per dag zijn dat een paar ip's.

Origineel geplaatst door FransVanNispen
Of het uitmaakt weet ik niet, maar van de grootste en langst durende attacks heb ik melding gemaakt.

Ik denk dat het dan wel ophoudt hierna

Het is toch zo dat je SSH zo kan instellen dan enkel bepaalde IP-adres toegang hebben ?

Mischien kan je enkel aangeven dat je eigen IP-adres mag en dan voor klanten via de web SSH.


Dan weet je in iedere geval wie het is.

Dan houden de login pogingen niet op, omdat de poort toch connect en het scriptje afgedraaid wordt. Je kunt dan beter ssh op een andere poort draaien.

Overigens heb je weinig te vrezen met een aparte username en een 'goed' wachtwoord.

Origineel geplaatst door host3000
Kant en klaar:

http://www.rfxnetworks.com/proj.php

apf + bfd

Gebruiken wij ook....
ideaal, krijgen er steeds minder last van

Zorg gewoon dat je eigen IP alleen via SSH access kan hebben.

login as root :

cd /etc/sysconfig

dan met vi of een andere editor voeg de onderstaande regel aan je firewall, alleen van jouw ip adres kan er verbinding gemaakt worden.

-A RH-Firewall-1-INPUT -s jouw ip adres -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

Origineel geplaatst door FransVanNispen
Beste WHT'ers,

Dagelijks wordt er op onze servers geprobeerd om ssh toegang te krijgen.

Is er misschien een manier om te zorgen dat, als een persoon meer dan x keer in een minuut probeert toegang te krijgen, er een mail wordt verzonden. En eventueel het IP automatisch te blokkeren?

Ik gooi ssh meestal op een andere poort. (Extra veiligheid)
Daarnaast gooi ik een zelfgemaakte daemon op poort 22, die luisterd op die poort en als er iemand inlogd hem direct blocked op ip.
(Heb hem echter niet meer, maar is simpel een socket open en wie erop connect block in firewall)

Je zou eens naar de limit optie in iptables kunnen kijken. Voor m'n eigen server heb ik een limiet ingesteld op max 1 SSH connectie p/m. Dit scheelt een hoop in de logs en het aantal aanvallen is ook minder geworden.
De enige ongemakkelijkheid die ik ervaar is dat wanneer ik met m'n slaperige kop die passphrase moet inkloppen en dan een fout maak ik een minuutje moet wachten voor ik weer kan inloggen. Maar dat is natuurlijk prima te overzien.