Ich würde mit iptables gerne brute-force Attacken auf meinen SSHd vorbeugen.
(ServerOS: Suse Pro 9.0, ich weis, das ist ein Debianforum, aber ich bin überzeugt, dass sich hier auch SuSE Leute herumtreiben....außerdem is das Forum hier besser )
Normal probiert die Source ca alle 2 Sekunden einen Angriff. Wenn mehr als 4 versuche in 10 sekunden von der gleichen IP stattfinden, wird die IP auf die Blacklist gesetzt, von mir aus 1 Stunde.
Ist sowas machbar?
Code: Alles auswählen
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set \
--name SSH -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl \
--name SSH -j LOG --log-prefix "SSH_brute_force "
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 \
--hitcount 4 --rttl --name SSH -j DROP
Heißt hier "von jeder IP-Adresse", dass, wenn 4 Verbindungen pro Minute statt finden, dass das gesamte Internet ausgesperrt wird oder nur die besagte Angriffs-IP ausgesperrt wird?Obiges erlaubt maximal 3 Verbindungs-Versuche pro Minute von jeder IP-Adresse im Internet. Sollte diese Marke überschritten werden muss eine Minute gewartet werden bis wieder Verbindungen zugelassen werden.