by:

Hallo,

nachdem ich immer wieder SSH Bruteforce Attacken auf meinem Server festgestellt habe, möchte ich euch heute ein kleines aber nützliches Tool vorstellen, was diese unterbindet. Denyhosts ist besonders dann praktisch, wenn man den SSH Port nicht auf eine bestimmte IP beschränken kann oder will. Die Installation unter Debian ist äusserst einfach.

Ein "apt-get install denyhosts" reicht in der Regel aus und man hat keinen Ärger mehr mit den lästigen SSH Bruteforce Attacken. Bei 5 (default) fehlgeschlagenen Loginversuchen wird die IP automatisch auf die hosts.deny Liste gesetzt.

Eine andere Möglichkeit ist Port Knocking, was einer Challenge- Response Lösung nahe kommt. Man sendet ein Packet an einen oder mehrere vorkonfigurierte TCP/UDP Ports und erst dann ist der SSH Port 22 für eine bestimmte Zeit erreichbar.

Ich hoffe euch hat der Beitrag gefallen.

Andreas

[UPDATE]

Zur Zeit verwende ich fail2ban, da es auch andere Protokolle (ssh, ftp, pop..) beherrscht und bin damit recht zufrieden. Anders als denyhosts verwendet es iptables Regeln.

Quellen:

http://www.fail2ban.org/

http://denyhosts.sourceforge.net/

http://en.wikipedia.org/wiki/Port_knocking



Name:
Kannst aber auch 'sshblack' verwenden.

http://www.pettingers.org/code/sshblack.html

Mfg Enrico