RootForum Community

Ich habe vor einiger Zeit ja mal einen SSH Blocker geschrieben, der IPs sperrt, wenn von diesen zu viele falsche Logins kommen. Jetzt bin ich gerade dabei eine neue Version zu erstellen, die die IPs untereinander austauschen können. Sprich, wenn auf einem Server eine IP gesperrt wird, können andere Server diese IP abrufen und auch sperren.

Hat da wer Interesse daran?

Was passiert, wenn ich Deine IP manuell in die Liste schreibe?

Dann kann sich von meiner IP aus keiner mehr auf anderen Servern einloggen. Eintragen kann man sich allerdings nur, wenn man vorher einen Zugang hat (Also UserID und Passwort)

Für Anregungen bin ich da gerne offen.

Da aber Internet-Provider dynamisch IPs vergeben, sollten die IPs nach einer Stunde oder so wieder aus der Liste fallen. Oder hast du eine andere Lösung dafür?

Du solltest aber dann auf jeden Fall ne white List einführen die jeder mit individuellen Einträgen füllen kann. So kann man sich schon mal nicht selbst aussperren ;)

Aber lohnt hier der Aufwand wirklich?

Wenn ich mich also bei dem Dienst registriere und die IP-Ranges von $ISP-DialUps in meine lokale Liste eintrage, kann sich nach dem nächsten Sync kein $ISP-Kunde mehr per ssh/scp/sftp in seinen Server einloggen.

Und wenn die IP-Ranges von $RootSerer-Anbieter in meine lokale Liste eintrage, kann nach dem nächsten Sync kein $RootServer-Kunde mehr ssh/scp/sftp zwischen Servern bei $RootServer-Anbieter nutzen.

Richtig?

Ja. Wobei man ja auch das Tool einfach nur für seine Server installieren könnte und nur die Daten zwischen den eigenen Server abgleichen könnte.

Für das angesprochene Problem sollte sich aber eine Lösung finden lassen. So z.B. erst ab einer bestimmten Anzahl von Meldungen für eine IP diese IP dann zur Veröffentlichung freigeben.

Sorry, da habe ich lieber ein vollgemülltes Logfile...

die Idee inde ich nicht schlecht. Die Sache mit dem "Schwellenwert" und einer lokalen Whitelist sollte allerdings schon drin sein um Mißbrauch zu erschweren.

Ehrlichgesagt hab ich lieber versteckte Ports mit einem Portknocker, da ist der Aufwand nur ein bruchteil und funtioniert herrvorragend. Bau doch einfach mal sowas, wäre das nicht besser?