SSH: 20 Failed logins = sperrung mit iptables?

[TamCore]

Hi,
Ich glaube das kennt jeder aus seinen Logs wenn irgendwelche Kiddies versuchen mit Bruteforce einen Server zu hacken.

Meine Frage:
Wie kann ich das erreichen das wenn z.B. 20 Failed Logins von einer IP innerhalb von 24h aufgezeichnet wurden das dann die jeweilige IP über iptables gesperrt wird?

Hoffe das mir jemand helfen kann.

MfG

 

[marneus]

Sers,

fail2ban oder DenyHosts.

Grüße,
marneus

 

[Gulaschkanone]

Gegen die ScriptKiddys hilft auch immer den Port einfach umlegen.

 

[TamCore]

Das fail2ban und Denyhosts gibts das auch debian package?

 

[Flashrider]

Ein einfaches

apt-get install fail2ban
apt-get install denyhosts

sollte reichen.

 

[TamCore]

danke, aber warum verbraucht fail2ban bei mir 13.3% vom CPU ?

Hab mir auch mail denyhosts installiert und ne mail mit folgendem inhalt bekommen:

Added the following hosts to /etc/hosts.deny:

192.25.133.25 (at1.ftc.agilent.com)
64.251.14.135 (135-14-251-64.serverpronto.com)
62.236.120.206 (koszalin.seasam.com)
82.127.50.9 (LSt-Amand-152-31-19-9.w82-127.abo.wanadoo.fr)
124.6.139.74 (mail.eei.com.ph)
212.55.208.26 (out.arenae.ch)
210.0.176.194 (unknown)
87.118.102.127 (ns.km23144-16.keymachine.de)
61.47.210.106 (unknown)
121.190.245.12 (unknown)
82.210.190.60 (60-mi2-3.acn.waw.pl)
211.233.15.229 (unknown)
192.153.153.60 (unknown)
210.212.79.38 (unknown)
88.117.190.90 (unknown)
62.123.192.212 (static-62-123-192-212.atlanet.it)
81.98.213.210 (host81-98-213-210.not-set-yet.ntli.net)
60.190.236.85 (unknown)
200.167.180.130 (unknown)
62.73.174.63 (eul0000731-pip.eu.verio.net)
212.210.63.18 (unknown)
218.244.129.190 (unknown)
83.209.71.138 (unknown)
64.79.128.126 (126-128-79-64.razorstream.com)
85.14.95.10 (host85149510.mirasoft.3s.pl)
62.149.233.85 (host85-233-149-62.serverdedicati.aruba.it)

----------------------------------------------------------------------

kann mir jemand sagen woher er die hosts hat?

 

[marneus]

Die hat DenyHosts aus Deiner /var/log/messages.

 

[TamCore]

danke, ich hoffe das ich jetzt langsam ruhe vor den kiddies habe

 

[marneus]

Das Verlegen des Ports hilft auch schon enorm weiter, um nicht zu sagen, es eliminiert die Loginversuche von ganz alleine.

OT: Ich hoffe, dass Du Dich endlich an die Nutzungsbedinungen hälst. Insbesondere Punkt 3.2.

 

[pfleidi85]

Das Verlegen des Ports hilft auch schon enorm weiter, um nicht zu sagen, es eliminiert die Loginversuche von ganz alleine.

Richtig. Denyhosts & Co sind zwar sinnvoll aber das Verlegen der Ports ist bei weitem effektiver, da die hier Angriffe einfach ins Leere laufen.