Belagerung durch fremde Rechner
Florian Lohoff
flo at rfc822.org
Sat Dec 10 12:37:48 CET 2005
On Fri, Dec 09, 2005 at 09:22:03AM +0100, Juergen Scharmacher wrote:
> a) Der fremde wechselt den username nach 6 Anfragen
> Bsp.:
> Dec 8 15:10:17 shsserver sshd[31204]: Failed password for illegal user
> ftpuser from ::ffff:213.160.193.173 port 33564 ssh2
>
> b) Der fremde wechselt den Port nach 2 Anfragen
> Bsp.:
> Dec 8 15:10:13 shsserver sshd[31200]: error: Could not get shadow
> information for NOUSER
>
> Wenn ich einfach ssh abschalte, würde ich natürlich auch selbst von
> außen nicht auf die Art hineinkommen.
>
> Ich benutze Debian SARGE im Netzwerk mit einem Router incl. firewall auf
> dem Router und DSL.Zugang zum Internet.
ssh dictionary attacks - Kann man nichts gegen machen - Ich habe einfach
ueber die hosts.allow die netze eingeschraenkt von denen eine
kontaktaufnahme zulaessig ist. Dadurch habe ich einfach 99% des
internets ausgesperrt. Das ganze sind bots und keine menschlichen
angreifer. Ach ja - Und das ist KEIN port wechsel. Die zahl ist die PID
d.h. die process id des sshds der nach 3 passwortabfragen stirbt und neu
gestartet werden moechte d.h. neuer verbindungsaufbau.
Alternative ist auch passwordabfrage komplett abzuschalten und nur ssh
keys als authentisierung zuzulassen.
Flo
--
Florian Lohoff flo at rfc822.org +49-171-2280134
Heisenberg may have been here.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20051210/0da51aac/attachment.sig>
More information about the Linux
mailing list