Skript-Kiddie-SSH-Attacken Mit Iptables Abwehren
Gerade lese ich bei Jörn eine interessante Idee, wie man die Skript-Kiddie-Attacken, die in der letzten Zeit das sshd-Log zumüllen (Anmeldeversuche mit guest/guest, root/root) einschränken kann.
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH<br /> iptables -A INPUT -p tcp –dport 22 -m state –state NEW -j SSH_WHITELIST<br /> iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 60 –hitcount 4 –rttl –name SSH -j ULOG –ulog-prefix SSH_brute_force<br /> iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 60 –hitcount 4 –rttl –name SSH -j DROP
Das erlaubt drei Zugriffe pro Minute auf den ssh-Dienst und macht dann für 60 Sekunden dicht. Sehr schick.
Die Whitelist muss natürlich entsprechend eingerichtet werden:
iptables -N SSH_WHITELIST<br /> iptables -A SSH_WHITELIST -s $TRUSTED_HOST -m recent –remove –name SSH -j ACCEPT
Der Code-Schnipsel stammt ursprünglich von Andrew.