Ubuntu Sverige

Jag har haft en del intrångsförsök via ssh där den som har försökt komma in använt sig av en bruteforce-metod.
Den som har gjort attacken har helt enkelt försökt med en massa olika ínloggningsnamn samt försökt logga in med root kontot och en massa olika lösenord, självklart har jag stängt av så man inte kan logga in genom ssh via root.

Frågan är den, finns det något bra program/script för att blockera en ip-adresser som har gjort för många misslyckade inloggningsförsök?

Tack för alla svar på förhand.
/Jim

Kolla in denyhosts eller fail2ban

Har du redan en egen brandvägg så rekommenderar jag den första så att den andra inte förstår dina brandväggsregler.

Det kan även vara en bra idé att byta port på ssh-servern för att hindra botar och annat otyg att bara scanna på port 22 och hitta din dator. Configfilen finns i /etc/ssh/sshd_config

Mekaniserad Apelsin skrev: Kolla in denyhosts eller fail2ban

Tack för tipsen, har installerat denyhosts nu, verkar vara riktigt trevligt program.

Jarulf skrev: Det kan även vara en bra idé att byta port på ssh-servern för att hindra botar och annat otyg att bara scanna på port 22 och hitta din dator. Configfilen finns i /etc/ssh/sshd_config

Att man inte tänkte på det tidigare. Har bytt port nu så förhoppningvis minskar antalet intrångsförsök.

Problemet låg i att jag använder en riktigt gammal dator som server, och om någon hela tiden försöker brute-force:a den så segar det ner den något oerhört.

Jimbo skrev: Att man inte tänkte på det tidigare. Har bytt port nu så förhoppningvis minskar antalet intrångsförsök.

Problemet låg i att jag använder en riktigt gammal dator som server, och om någon hela tiden försöker brute-force:a den så segar det ner den något oerhört.

Kanske jag skulle sagt något om, blivit lite för van kanske

Jag har inga som helst intrångsförsök på min ssh-server, trots att jag har statisk ip.

Mekaniserad Apelsin skrev:Jag har inga som helst intrångsförsök på min ssh-server, trots att jag har statisk ip.

De senaste två dagarna har jag haft 6st olika ip-adresser som försökt bruteforce attackera mig, men efter att jag böt port på sshd igår så har jag inte haft en enda 

Ett tips är att ha ett script som begränsar att du under ett visst tidsintervall får göra visst många inloggningsförsök. Blir det för många så blockar du så man inte kan logga in. Detta borde göra att om intet annat att det tar mycket längre tid för någon att lyckas med ett bruteforce attack.

KiviE skrev: Ett tips är att ha ett script som begränsar att du under ett visst tidsintervall får göra visst många inloggningsförsök. Blir det för många så blockar du så man inte kan logga in. Detta borde göra att om intet annat att det tar mycket längre tid för någon att lyckas med ett bruteforce attack.

Fast det är det som denyhosts gör, bland annat. Det finns lite mer godis däri.

Mekaniserad Apelsin skrev:

KiviE skrev: Ett tips är att ha ett script som begränsar att du under ett visst tidsintervall får göra visst många inloggningsförsök. Blir det för många så blockar du så man inte kan logga in. Detta borde göra att om intet annat att det tar mycket längre tid för någon att lyckas med ett bruteforce attack.

Fast det är det som denyhosts gör, bland annat. Det finns lite mer godis däri.

Okej har aldrig använt denyhosts så det visste jag inte Man lär sig något nytt varje dag.