[SSH] ständiges versuchen von unerlaubten logins

F

forquato

New Member
Hallo,

leider muss ich letzte Zeit feststellen, dass sich jemand versucht ständig auf meinem
Server per SSH einzuloggen (täglich mehrere hundert mal). Welche vorgehensweise würde in dem Falle empfehlenswert sein?

Hier ein Ausschnitt einer Log-Datei:

Security Events =-=-=-=-=-=-=-=
Mar 17 15:02:05 mein_server sshd[28542]: Failed password for invalid user calvin from 209.216.206.194 port 42381 ssh2

Mar 17 15:02:06 h1349201 sshd[30129]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=209.216.206.194

Mar 17 15:02:08 mein_server sshd[30129]: Failed password for invalid user josec from 209.216.206.194 port 42981 ssh2
...
...
...
Click to expand...
 
Wenn Dich das nervt, solltest Du den Port verlegen, auf dem der sshd antwortet. Das ist allerdings weniger praktisch, wenn Du viele Benutzer hast, die über ssh auf den Server zugreifen.
 
Wie mein Vorredner meinte, port ändern, ansonsten kannst auch denyhosts[1] installieren, funktioniert bei mir super.

[1]http://denyhosts.sourceforge.net/
 
Oder Authentifizierung nurnoch mit Keyfile erlauben.

Hab auch den Port verlegt und seit dem keine Angriffe mehr. Das mit dem Keyfile bringt halt nochmal zusätzliche Sicherheit und auch Komfort.
 
Hallo,

Deaktiviere einfach die Passwort Eingabe und stell dein SSH auf gültige DSS/RSA Public-Client Keys oder Zertifikate um, oder noch besser das SSH nur per VPN Einwahl erreichbar ist.

Bei mir läuft SSH nur noch per VPN Einwahl, da ich das gleiche Problem hatte (nur extremer) 40-60 Fehl-Logins am Tag...

Beim deaktivieren des Passwortes ist aber vorsicht geboten, du solltest immer einen Host haben mit dem du Notfalls dich noch per SSH einloggen kannst, wenn mal was mit deiner Workstation sein sollte.
 
Vielen Dank für die Tipps!!
Das gleiche passiert auch mit irgendwelchen fehlgeschlagenen FTP-Logins und Email-Logins...
Mein Server ist schon teilweise dadurch abgestürzt...
 
Generell ist das Normal. Das ist halt das Grundrauschen des Internets. Weiter helfen da eben so Tools wie Fail2ban oder denyHosts. Mehr wirst du dagegen nicht machen können.

Es ist einfach nur wichtig, dass du dein System richtig absicherst.

Sollten die vermeintlichen Angriffe zuviel von einer IP ausgehen, so kannst du die entweder über IpTables sperren, was aber noch bedeutet, dass sie dein Server doch noch verarbeiten muss, oder du sprichst mal mit deinem Hoster, ob dieser die Ip sperren kann.

Gruß Mordor
 
You must log in or register to reply here.
Back
Top