[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: SSH: Brute-force Attacken abfangen?


On Wed, Jan 24, 2007 at 12:51:40PM +0100, Michael Lestinsky wrote:
> Marc Haber wrote on  24.01.2007:
> > >  Aber ich denke ernsthaft darueber nach, nur noch einen sshd in der
> > >  Firewall von aussen freizugeben, von dem aus man sich nur noch intern
> > >  weiterverbinden kann.
> > 
> > Und das soll genau was bringen?
> 
> Das mir nur noch ein Rechner taeglich mehrere tausend Zeilen Logfiles
> schickt und ich es bei den anderen leichter habe, das Signal vom Rauschen
> zu trennen.

Warum guckst Du Dir die Logs ueberhaupt an? Ich ignoriere das bei mir.

Wenn Du sauberer arbeiten willst als ich (was ich ehrenwert finde),
dann lass Dir doch die _erfolgreichen_ Logins schicken. Dann bilde
Zuordnungen zwischen Accountnamen und bereits bekannten IP-Adressen
und/oder IP-Ranges (z.B. wuerde ein valider Login von mir in aller
Regel nur aus *.syscovery.com und *.zugschlus.de kommen) und sortiere
alle dieser Matches weg. Mich wuerde wundern, wenn dann noch mehr als
zwei Haende voller Logeintraege am Tag rauskaemen.

Logs will man haben, aber im Normalfall nicht lesen. Wenn man da
keinen automatisierten Auswertungsmechanismus hat, ueberliest man den
einen gefaehrlichen Eintrag eh.

Gruesse
Marc


-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Mannheim, Germany  |  lose things."    Winona Ryder | Fon: *49 621 72739834
Nordisch by Nature |  How to make an American Quilt | Fax: *49 621 72739835
-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn