Am Donnerstag, 14. April 2005 11:41 schrieb David Seidel:
Hallo Christoph,
Ich hatte so ein ähnliches Problem mal. Da wurden immer so 30 bis 40 versuche gegen root gestartet. Hab dann dem sshd gesagt, dass root nicht mehr darf. Seitdem hab ich Ruhe.
Hab ich schon gemacht, aber der lässt mich trotzdem nicht in Ruhe. :-)
Als welcher User versucht sich der Angreifer denn?
Der probiert Standard-Login-Namen aus wie "test" oder "guest", aber auch "tomcat", "joe", "barbara", usw.. Wird also irgendein automatisierter Angriff sein. Allerdings mach ich mir schon etwas Sorgen. Schliesslich ist das SuSE 9.1 das da drauf ist zwar auf dem neuesten Stand, aber soweit ich weiss, ist SuSE nicht unbedingt die sicherste Distribution.
Dieser "Angriff" probiert nur schwache Passworte durch. Diese Passworte werden bei anderen Distributionen auch nicht sicherer. Tritt da mal lieber deinen Anwendern in Kreuz. Ansonsten kannst du komplett auf die public-key Methode umstellen und Passwörter verbieten. "PasswordAuthentication no" Dann sind diese Wörterbuchattacken sinnlos.
Das einzige Problem/Ärgernis sind die sich füllenden log-files. Und da musst du mMn auf die schon erwähnten Mittel zurückgreifen. Interessant ist eventuell eine OpenBSD-Firewall mit pf-auth. Dann muss sich der Nutzer erst an der Firewall authentifizieren und erst dann wird der Port freigeschaltet. (Evt. mit portknocking vergleichbar)
Jens