SSH brute force Attacken mittels Netfilter/Iptables verhindern
Welcher Linux-Admin kennt die brute-force Wörterbuch-Attacken gegen SSH nicht aus den Logfiles?
Mit dem recent Modul von Netfilter/Iptables kann man sich dagegen wehren:#log chain, loggt die Versuche und droppt sieWer den Angreifer noch mehr ärgern will sollte sich mal das Iptables-Target TARPIT anschauen...
iptables -N logssh
iptables -A logssh -m limit --limit 10/min --limit-burst 20 -j LOG --log-prefix "alert (ssh brute-force): "
iptables -A logssh -j DROP
# matcht wenn IP bereits 3 x in der Liste ist und die last seen time < 60 sec ist # zusätzlich muss die TTL des Paketes gleich dem ursprünglichen sein, das die Regel mit --set gemacht hatte # verhindert denial-of service attacken per ip-spoofing! iptables -A INPUT -i $IFACE_EXT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --rttl --hitcount 3 --name SSH -j logssh # weniger als 3 mal: fügt die Source-Adresse zu der Liste hinzu bzw updatet sie iptables -A INPUT -i $IFACE_EXT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
Artikelaktionen