Skript-Kiddie-SSH-Attacken mit iptables abwehren

Gerade lese ich bei Jörn eine interessante Idee, wie man die Skript-Kiddie-Attacken, die in der letzten Zeit das sshd-Log zumüllen (Anmeldeversuche mit guest/guest, root/root) einschränken kann.

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH<br /> iptables -A INPUT -p tcp &#8211;dport 22 -m state &#8211;state NEW -j SSH_WHITELIST<br /> iptables -A INPUT -p tcp &#8211;dport 22 -m state &#8211;state NEW -m recent &#8211;update &#8211;seconds 60 &#8211;hitcount 4 &#8211;rttl &#8211;name SSH -j ULOG &#8211;ulog-prefix SSH_brute_force<br /> iptables -A INPUT -p tcp &#8211;dport 22 -m state &#8211;state NEW -m recent &#8211;update &#8211;seconds 60 &#8211;hitcount 4 &#8211;rttl &#8211;name SSH -j DROP

Das erlaubt drei Zugriffe pro Minute auf den ssh-Dienst und macht dann für 60 Sekunden dicht. Sehr schick.

Die Whitelist muss natürlich entsprechend eingerichtet werden:

iptables -N SSH_WHITELIST<br /> iptables -A SSH_WHITELIST -s $TRUSTED_HOST -m recent &#8211;remove &#8211;name SSH -j ACCEPT

Der Code-Schnipsel stammt ursprünglich von Andrew.

Share Comments
comments powered by Disqus