Re: SSH: Brute-force Attacken abfangen?

Autor: Marc Haber <mh+uugrn_at_zugschlus.de>
Datum: 24.01.2007
On Wed, Jan 24, 2007 at 12:51:40PM +0100, Michael Lestinsky wrote:
> Marc Haber wrote on  24.01.2007:
> > >  Aber ich denke ernsthaft darüber nach, nur noch einen sshd in der
> > >  Firewall von außen freizugeben, von dem aus man sich nur noch intern
> > >  weiterverbinden kann.
> > 
> > Und das soll genau was bringen?
> 
> Das mir nur noch ein Rechner täglich mehrere tausend Zeilen Logfiles
> schickt und ich es bei den anderen leichter habe, das Signal vom Rauschen
> zu trennen.

Warum guckst Du Dir die Logs überhaupt an? Ich ignoriere das bei mir.

Wenn Du sauberer arbeiten willst als ich (was ich ehrenwert finde),
dann lass Dir doch die _erfolgreichen_ Logins schicken. Dann bilde
Zuordnungen zwischen Accountnamen und bereits bekannten IP-Adressen
und/oder IP-Ranges (z.B. würde ein valider Login von mir in aller
Regel nur aus *.syscovery.com und *.zugschlus.de kommen) und sortiere
alle dieser Matches weg. Mich würde wundern, wenn dann noch mehr als
zwei Hände voller Logeinträge am Tag rauskämen.

Logs will man haben, aber im Normalfall nicht lesen. Wenn man da
keinen automatisierten Auswertungsmechanismus hat, überliest man den
einen gefährlichen Eintrag eh.

Grüße
Marc


-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Mannheim, Germany  |  lose things."    Winona Ryder | Fon: *49 621 72739834
Nordisch by Nature |  How to make an American Quilt | Fax: *49 621 72739835
-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn
Received on Wed Jan 24 13:07:23 2007

Dieses Archiv wurde generiert von hypermail 2.1.8.

Weitere Links: