Sicherheit
Angreifer-IPs sperren
Als weitere Maßnahme können Sie die IP-Adresse von Eindringlingen sperren, die mehrfach unberechtigt versuchen, sich anzumelden. Dazu verwenden Sie den Paketfilter iptables, der zu Linux gehört. Auch wenn die Passwort-Anmeldung bei Ihrem SSH-Server nicht mehr möglich ist, muss es schließlich nicht sein, daß Sie die Bandbreite Ihrer Internet-Verbindung dafür hergeben, daß andere an Ihrem Rechner ihre Angreifer-Scripte testen. Doch auch wenn Sie die Passwort-Anmeldung nicht abschalten können, etwa weil das von Ihren Benutzern nicht akzeptiert wird, ist die Sperrung von IP-Adressen ab einer bestimmten Anzahl von Anmeldefehlern eine sinnvolle Alternative.
Sämtliche Anmeldeversuche, egal ob lokal oder über das Internet, speichert Linux in der Log-Datei /var/log/auth.log. Das Programm fail2ban überwacht diese Datei, wertet sie aus und setzt nach fünf Fehlversuchen mittels iptables einen Filter, der sämtliche SSH-Pakete für zehn Minuten sperrt, die von der IP-Adresse mit den Fehlversuchen stammen. Über die Konfigurationsdatei /etc/fail2ban/jail.conf können Sie diese Werte verändern: So legen Sie mit einer Zahl hinter „maxretry = “ fest, wieviele Fehlversuche Sie zulassen wollen; mit „bantime = “ bestimmen Sie die Dauer der Sperrung in Sekunden. Im Praxistest erwiesen sich zwanzig bis dreißig Minuten als ausreichend, kaum eines der angreifenden Scripte setzte danach seine Arbeit fort. Welche IP-Adressen von fail2ban gesperrt werden mussten, können Sie in der Log-Datei /var/log/fail2ban.log nachlesen.
Fail2ban besteht aus einer Sammlung von Python-Scripts, das heißt Sie müssen Python installiert haben, um es zu verwenden. Für viele Linux-Distributionen liegt es bereits als fertiges Paket vor, so dass Sie es nicht aus den Sourcen selbst compilieren müssen
Sämtliche Anmeldeversuche, egal ob lokal oder über das Internet, speichert Linux in der Log-Datei /var/log/auth.log. Das Programm fail2ban überwacht diese Datei, wertet sie aus und setzt nach fünf Fehlversuchen mittels iptables einen Filter, der sämtliche SSH-Pakete für zehn Minuten sperrt, die von der IP-Adresse mit den Fehlversuchen stammen. Über die Konfigurationsdatei /etc/fail2ban/jail.conf können Sie diese Werte verändern: So legen Sie mit einer Zahl hinter „maxretry = “ fest, wieviele Fehlversuche Sie zulassen wollen; mit „bantime = “ bestimmen Sie die Dauer der Sperrung in Sekunden. Im Praxistest erwiesen sich zwanzig bis dreißig Minuten als ausreichend, kaum eines der angreifenden Scripte setzte danach seine Arbeit fort. Welche IP-Adressen von fail2ban gesperrt werden mussten, können Sie in der Log-Datei /var/log/fail2ban.log nachlesen.
Fail2ban besteht aus einer Sammlung von Python-Scripts, das heißt Sie müssen Python installiert haben, um es zu verwenden. Für viele Linux-Distributionen liegt es bereits als fertiges Paket vor, so dass Sie es nicht aus den Sourcen selbst compilieren müssen
Vorherige Seite
Seite 3 von 3
Nächste Seite
