Hallo,
auf einem Linux-Server (Linux 2.4.21) erhalte ich regelmäßig Loginversuche, die in der messages-Datei folgendermaßen erscheinen:
Jan 11 12:59:36 xxxxx sshd[24884]: input\_userauth\_request: illegal user japan
Jan 11 12:59:36 xxxxx sshd[24884]: Failed password for illegal user japan from ::ffff:189.11.251.194 port 51999 ssh2
Jan 11 12:59:36 xxxxx sshd[24884]: Received disconnect from ::ffff:189.11.251.194: 11: Bye Bye
Dies geht dann im Sekundentakt weiter, mit wechselnden Usernamen und Ports. Muss man als Serverbesitzer mit sowas leben oder gibt es eine Möglichkeit, nach der ersten illegalen Anfrage die Quell-IP-Adresse für weitere Versuche zu blocken - am liebsten auf vorgegebene Zeit?
Installiert ist die SuSE-Firewall. Gegebenenfalls installiere ich aber auch eine andere, wenn es damit geht. Oder gibt es ein anderes Tool, das das blocken der IP dynamisch vornimmt?
Oder ganz andere Lösungsvorschläge?
Danke für Hilfe
Wolfgang
Dies geht dann im Sekundentakt weiter, mit wechselnden
Usernamen und Ports.
Und? Wen stört’s? Laß ausschliesslich zertifikatsbasierte ssh-Zugriffe zu und amüsier dich über die lustigen Log-Einträge.
Installiert ist die SuSE-Firewall.
Der Begriff der Firewall besitzt hier nicht einmal euphemistische Qualität - er ist schlicht falsch gewählt. Was da installiert ist, ist ein Portfilter, wie immer der von SuSE auch genannt werden mag.
Aber was hat dieser Portfilter mit den ssh-Zugriffen zu tun? Hast du sshd extra installiert und gestartet, um Zugriffe darauf mittels Portfilter wieder abzublocken? Oder ist dir an den alarmististischen Einträgen in den Logs gelegen, die dich an düstren Herbsttagen bei schlechtem Grog und Kerzenschein so schön ins Gruseln bringen?
Gruss
Schorsch
Dies geht dann im Sekundentakt weiter, mit wechselnden
Usernamen und Ports.
Und? Wen stört’s? Laß ausschliesslich zertifikatsbasierte
ssh-Zugriffe zu und amüsier dich über die lustigen
Log-Einträge.
Ja, Login ist eh nur über ssh möglich.
Installiert ist die SuSE-Firewall.
Der Begriff der Firewall besitzt hier nicht einmal
euphemistische Qualität - er ist schlicht falsch gewählt. Was
da installiert ist, ist ein Portfilter, wie immer der von SuSE
auch genannt werden mag.
Ich hab’s nur erwähnt, weil zwischendrin auch Meldungen mit „SuSE-Firewall“ in der messages drin sind, die dieselbe Quell-IP melden. Wenn die Messages aber nicht bedenklich sind, ist das beruhigend.
Aber was hat dieser Portfilter mit den ssh-Zugriffen zu tun?
Hast du sshd extra installiert und gestartet, um Zugriffe
darauf mittels Portfilter wieder abzublocken? Oder ist dir an
den alarmististischen Einträgen in den Logs gelegen, die dich
an düstren Herbsttagen bei schlechtem Grog und Kerzenschein so
schön ins Gruseln bringen?
Soweit ich das sehe, wurde der Portfilter (hier also SuSE-Firewall genannt) damals eingerichtet, um den Rechner als Router laufen zu lassen - zumindest ist das der hier dokumentierte Zweck der sogenannten SuSE-Firewall. Der Rechner läuft schon seit Jahren so, und von den Fragen, wer darauf was, wann und wo installiert hat und ob das in Jahreszeiten, Alkohol und Ängsten begründet war, könnte ich Dir lediglich das „was“ und das „wo“ beantworten.
Sofern das also wichtig ist, frag bitte noch mal so, dass ich verstehe was Du meinst.
Aber wegen der Loginversuche - wenn ich mir da keine Sorgen machen muss, danke ich Dir für diese Info.
Viele Grüße
Wolfgang