[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Problem mit denyhosts
[Thread Prev] | [Thread Next]
- Subject: Re: Problem mit denyhosts
- From: Philipp Schafft <lion@xxxxxxxxxxxxxxx>
- Date: Thu, 20 Aug 2009 07:56:53 +0200
- To: uugrn@xxxxxxxxxxxxxxx
reflum, On Wed, 2009-08-19 at 18:20 +0200, Peter Mueller wrote: > Hallo, > > mir ist aufgefallen, dass in auth.log zeitweise Versuche auftauchen > sich auf meinen Debian Server einzuloggen. Die Kiste dient als > "Hausserver" und ist eigentlich nicht allzu oft online. Schon > verwunderlich wie schnell Rechner gefunden werden ... Naja, wird subnetz weise einfach das netzt gescant. Nehmen wir mal an du benutzt 30.000 ports zum scannen, und wartest max 30 sekunden hast du im schlimmsten fall eine scan rate von 1000 hosts pro sekunde. Im normalfall wirst du aber sicherlich facktor 10 drueber ligen da du nur wenige timeouts abwarten musst. Kannst dir ja mal ueberlegen wie lange damit das scannen von grossen netzen dauert. Gehen wir davon aus das jeder mensch einen rechner besitzt (6 Mrd.) komme ich auf ne scan zeit von 69 tagen. mit 30 sek. pro Rechner... > Ich habe nun denyhosts per "apt-get install denyhosts" installiert. > > Anschliessend kann ich mich nicht mehr per ssh einloggen. Meine beiden > Macs tauchen in der > /etc/hosts.deny Liste auf. > > Da denyhosts seine Infos ueber Fehlversuche aus auth.log zieht habe ich > diese Datei geloescht. > Aber auch dann taucht nach kurzer Zeit wieder eine ganze Liste von IP > Adressen incl. meiner > beiden Rechner im hosts.deny auf. > > Hat jemand eine Idee wieso Rechner, von denen definitiv keine > Fehllogins kommen ausgeblockt > werden? Woher nimmt denyhosts eigentlich die IP Adressen, wo ich > auth.log doch geloescht hatte. kurtzer blick in /etc/denyhosts.conf: SECURE_LOG = /var/log/auth.log Einen aehnlichen effeckt wei du ihn beschreibst hatte ich auch schon. Das ligt soweit ich weiss an dem cache den das ding selbst noch einmal hat. Es geht halt selbstd avon aus das das logfile ggf. rotiert wird, deswegen macht es bei loechung keine anstalten die eintrage raus zu nehmen. In der manpage findest du einen befehl zu loechen des caches soweit ich das eben gesehen habe. -- Philipp. (Rah of PH2) -- http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/