Sshd konfigurieren

Hi,
Es geht um die Abwehr von brute Force Attacken bei Linux/Unix servern.
In unserem Schulforum kam folgender Tipp:

noch ein trick: ich weiß nicht genau wie es geht, aber ich glaube zu :wissen, dass es geht:
man setzt die wartezeit für die antwort auf denn :ssh-verbindungsrequest
(noldig soll mich ausbessern im syntax^^) hoch - z.b. auf 10 :sekunden. dann geht den meisten portscannern und hackern die geduld :aus *g*

a) was genau meint er? Ich nehme an die zeit bis der sshd auf eine Anfrage reagiert.
b) geht das überhaupt?Kann ich mich dann noch vernünftig einloggen?
c) wenn ja wie wann und wo?
lg Alex

noch ein trick: ich weiß nicht genau wie es geht, aber ich glaube zu :wissen, dass es geht:
man setzt die wartezeit für die antwort auf denn :ssh-verbindungsrequest
(noldig soll mich ausbessern im syntax^^) hoch - z.b. auf 10 :sekunden. dann geht den meisten portscannern und hackern die geduld :aus *g*

a) was genau meint er? Ich nehme an die zeit bis der sshd auf
eine Anfrage reagiert.

Was genau er meint? Das musst du schon ihn fragen. Ich vermute: Die Zeit, die sshd nach einer fehlgeschlagenen Anmeldung auf weitere Anmeldeversuche nicht mehr reagiert.

b) geht das überhaupt?Kann ich mich dann noch vernünftig
einloggen?

Solange der delay nicht jedesmal um einen bestimmten Wert hochgesetzt wird, wäre das weitgehend unproblematisch. Zu hohe oder sich steigernde delays können aber zu einer DOS-Attacke reizen. Aber bei openssh ist ein derartiges Verhalten m. W. nicht konfigurierbar, du müsstest schon den Quelltext anpassen und neu kompilieren. Zwei sek. wird aber nach einem fehlgeschlagenem Login per default gewartet.

Gruss
Schorsch

Hallo Alex,

Auf http://fail2ban.sourceforge.net/ gibt es ein Python-Skript, wo man konfigurieren kann, dass nach einer bestimmten Anzahl von fehlgeschlagenen Login-Versuchen innerhalb eines definierten Zeitraumes fuer eine angegebene Zeit alle Verbindungsversuche von dieser IP (alle Ports) geblockt werden.

HTH,
Puersti