[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: SSH: Brute-force Attacken abfangen?
[Thread Prev] | [Thread Next]
- Subject: Re: SSH: Brute-force Attacken abfangen?
- From: Marc Haber <mh+uugrn@xxxxxxxxxxxx>
- Date: Wed, 24 Jan 2007 13:03:06 +0100
- To: uugrn@xxxxxxxxxxxxxxx
On Wed, Jan 24, 2007 at 12:51:40PM +0100, Michael Lestinsky wrote: > Marc Haber wrote on 24.01.2007: > > > Aber ich denke ernsthaft darueber nach, nur noch einen sshd in der > > > Firewall von aussen freizugeben, von dem aus man sich nur noch intern > > > weiterverbinden kann. > > > > Und das soll genau was bringen? > > Das mir nur noch ein Rechner taeglich mehrere tausend Zeilen Logfiles > schickt und ich es bei den anderen leichter habe, das Signal vom Rauschen > zu trennen. Warum guckst Du Dir die Logs ueberhaupt an? Ich ignoriere das bei mir. Wenn Du sauberer arbeiten willst als ich (was ich ehrenwert finde), dann lass Dir doch die _erfolgreichen_ Logins schicken. Dann bilde Zuordnungen zwischen Accountnamen und bereits bekannten IP-Adressen und/oder IP-Ranges (z.B. wuerde ein valider Login von mir in aller Regel nur aus *.syscovery.com und *.zugschlus.de kommen) und sortiere alle dieser Matches weg. Mich wuerde wundern, wenn dann noch mehr als zwei Haende voller Logeintraege am Tag rauskaemen. Logs will man haben, aber im Normalfall nicht lesen. Wenn man da keinen automatisierten Auswertungsmechanismus hat, ueberliest man den einen gefaehrlichen Eintrag eh. Gruesse Marc -- ----------------------------------------------------------------------------- Marc Haber | "I don't trust Computers. They | Mailadresse im Header Mannheim, Germany | lose things." Winona Ryder | Fon: *49 621 72739834 Nordisch by Nature | How to make an American Quilt | Fax: *49 621 72739835 -- http://mailman.uugrn.org/mailman/listinfo/uugrn