Schutz vor Login-Versuchen?

[mrmasterjpsy]

Ja sicher bin ich drübergeflogen, habs bei deinen Standard Einstellungen (120s/5 Trys etc) gelassen...

JPsy

[cat]

lies mal genauer bzw. GANZ GENAU (*groessten Zaunpfahl, den ich heben kann, hol und heftig fuchtel*)

[Joe User]

/me: Für's Archiv vormerken ;)

[mrmasterjpsy]

Oh Gott - wer macht denn sonen Scheiß 8O :lol:

Sowas übersieht der Newbie doch wenna seit 20 std nur Scripte sieht...

Naja, ein Forum braucht solche Posts - hats mal mich erwischt *g*


JPsy - schmunzelt immer noch ;-)


Edit : So, jetzt kann ich dir die fehlermeldugn präsentieren :

Setting rules against SSH brute force attacks: iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
done.

[darkman]

was bringt denn:

Code: Select all

iptables -m recent

und

Code: Select all

iptables -m state

bei Dir?

[mrmasterjpsy]

# iptables -m recent
iptables v1.2.11: recent: you must specify one of `--set', `--rcheck' `--update' or `--remove'
Try `iptables -h' or 'iptables --help' for more information.

# iptables -m state
iptables v1.2.11: You must specify `--state'
Try `iptables -h' or 'iptables --help' for more information.

[aldee]

Code: Select all

$ cat /etc/network/if-up.d/iptables
#!/bin/sh

IPTABLES="/sbin/iptables"

$IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 5 --rttl --name SSH -j LOG --log-prefix "SSH_flood "
$IPTABLES -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 5 --rttl --name SSH -j REJECT

Limitiert neue SSH-Verbindungen auf 5 pro Minute pro IP (kann für bestimmte Anwendungsfälle zu restriktiv sein).

Bekomme bei der ersten zeile schon folgenden Fehler :

~# IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
iptables: No chain/target/match by that name

Sagt mir leider nix, brauch eure Hilfe weil mir die logs überquellen mit root brute force attacken.

Thx JPsy

Vermutlich ist in deinem Kernel kein "recent match"-Support einkompiliert. Kompiliere einen Kernel mit

Code: Select all

Networking options  --->  IP: Netfilter Configuration  --->  recent match support

[mrmasterjpsy]

So, dann hät sich das erstmal erledigt. Thx @ all.

Ich bastel doch ncith für Iptables Regeln den Kernel um...

...das sollte ja ne simple Lösung sein die ich gesucht habe.



Jpsy

[aldee]

Du könntest dir mal den "SSH Blocker" von Alexander Newald anschauen: http://linux.newald.de/index.php?id=305

Der kommt IIRC auch ohne "recent" aus.

Das ist aber IMHO weniger simpel als die drei Rules ;-).

[darkman]

So, dann hät sich das erstmal erledigt. Thx @ all.

Ich bastel doch ncith für Iptables Regeln den Kernel um...

...das sollte ja ne simple Lösung sein die ich gesucht habe.

Jpsy

Ohne Dir jetzt zu nahe treten zu wollen, aber: Sicherheit ist nicht
"simpel" und Kernel konfigurieren ist ein wichtiger Bestandteil von
Sicherheit. Von daher schade das Du dann mal eben aufgibst wenns
eigentlich wirklich interessant wird.

Gruesse,
Darkman

[mrmasterjpsy]

^^ @ Darkman : das hat weniger etwas mit aufgeben zu tun, als mit Realismus.

Ich suchte für den Moment (weil ich momentan noch keine firewall & Intrusion detection) am laufen habe nach ner relativ Newbie nahen Möglichkeit.

Wenn ich nun das System so anpasse das die iptables Regeln funktionieren, kann ich mich auch gleich in die (harte) Firewall & Intrusion Detection Sache heranmachen.

Ich setze im Moment nur das um was ich auch ansatzweise nachvollziehen kann - hät ich aufgegeben würd ich den server runterfahren und das halbe Jahr wo ich leider Vetrag hab abwarten und einfach zahlen.

Ich muss mir eben langsam eingestehen das die Rooty Administration nciht mal eben mit nem Buch & 2 HowTos zu erledigen ist, da mir an allen Ecken Basics zu Linux fehlen.

Und die bekommste auch ncith über Nacht, und das Buch "Dedizierte Webserver einrichten & administrieren" macht mich auch nciht über Nacht zum Freak - nur abschalten werd ich den server nciht, da das dann wirklich aufgeben wäre.

Ich hab die Kiste im moment so eingestellt (Mail komplett down) das ncith viel Unsinn damit getrieben werden kann, nun muss ich mich nach und nach durchbeißen - udn da ist eine Ã?nderung im Kernel ncoh ncith drin...

JPsy

Edit : @ Aldee : Das Script hab ich gestern morgen getestet - nur Fehlermeldungen, finde das nciht, kann dieses nciht...

[cat]

Wenn ich nun das System so anpasse das die iptables Regeln funktionieren, kann ich mich auch gleich in die (harte) Firewall & Intrusion Detection Sache heranmachen.

nun, iptables sind die Firewall schlechthin ;) .. dabei streiten sich dann die Geister, ob eine FW auf dem Server direkt Sinn machen, oder nicht. So gut wie eine externe/vorgeschaltene sind sie sicher nie ...

Nichts desto, mit einigen iptables kann man sein System einfach und sinnvoll vor einigen Kiddies schuetzen. Ich wuerde also im Interesse eines abgesicherten Systems mich asap mit den Sicherheitsrelevanten Basics auseinandersetzten. Dazu gehoeren aktuelle Kernel inklusive Patches und Modules, immer die aktuellen Patche fuer die installierte SW und natuerlich iptables

GreetZ
Cat