schutz gegen angriffe

[rule]

hallöchen zusammen!

über google habe ich hier her gefunden und hoffe, dass mir jemand bei meinem problem helfen kann.

es geht darum, dass in letzter zeit vermehrt bruteforce-angriffe auf meinen root durchgeführt werden.

das sieht z.b. so aus:

Code: Select all

Nov 1 17:55:02 mis20 sshd[1650]: Invalid user emma from 202.33.9.99
Nov 1 17:55:05 mis20 sshd[1655]: Invalid user madison from 202.33.9.99
Nov 1 17:55:07 mis20 sshd[1657]: Invalid user hannah from 202.33.9.99
usw.usw.

ich hatte nun daran gedacht, da das ja vermutlich über proxy gemacht wird (trace führt nach japan), gäbe es vielleicht eine möglichkeit alle die ip des zugriffs vorher zu tracen und wenn sie außerhalb deutschlands ist sofort zu verweigern?

oder eine andere möglichkeit, bin für hilfe offen!

liebe grüße
rule

[codc]

Bemüh mal die Boardsuche das wurde schon unendlich häufig gefragt :P

[rule]

hab ich, aber nichts gefunden was genau meinen vorschlag betrifft zwecks vorherigem tracen :(

[oxygen]

Wenn dein Server ordentlich konfiguriert ist, kannst das ganze einfach ignorieren.

[rule]

wenn er das wäre, müsste ich mich hier kaum anmelden um eine frage zu stellen oder? ;)

[Roger Wilco]

Nur noch Authentifizierung via Public Key erlauben und gut ist.

[sonnenrot]

wenn er das wäre, müsste ich mich hier kaum anmelden um eine frage zu stellen oder? ;)

Dieses erraten durch probieren sollte kein Problem sein und nichts über die Sicherheit deines Servers aussagen, sofern du ordentliche Passwörter und Benutzername nutzt.

Um einfach die Menge der Logeinträge zu minimieren kannst du durch editieren der /etc/ssh/sshd_config datei den ssh Prozess auf einem anderen Port lauschen lassen, das verringert die Anfrage meist auf 0%.

[Joe User]

durch editieren der /etc/ssh/ssh_config

Wenn, dann bitte die /etc/ssh/sshd_config editieren.

[sonnenrot]

Wenn, dann bitte die /etc/ssh/sshd_config editieren.

Danke, du hast recht (könnte schwören ich wollte sshd tippen - what ever)

Code: Select all

Port 23457

oder irgend etwas anderes sinnvolles

[silent85]

SSH Port ändern hat bei mir die Logins um 100% Reduziert, abgesehen von meinen natürlich :-)

Ist es für mich auch sinvoll Pulic Key zu verwenden?, ich mein hat ja eh keiner den SSH Port..

[flo]

Zwei paar Stiefel.

Das eine sind die automatisierten Versuche - wenn das nicht klappt, nehmen die den nächsten Server. Da geht es nicht um kunstvolles Hacken, sondern um effizientes Öffnen von x Zugängen/Stunde.

Das andere ist, wenn irgendjemand in _Deinen_ Server rein möchte - dann gibt er sich Mühe und dann zählt die Komplexität des Passwortes und/oder die des Schlüssels wieder. Eventuell merkst Du davon noch nicht mal etwas, wenn das richtig gemacht wird. Dann kann gegebenenfalls auch ein Intervall zwischen den Logins sein, die IPs können sich ändern usw. Oder man probiert es gleich über eine Applikation.

flo.