SSH Brute Force Angriffe abwehren

ssh bietet bequemen und sicher verschlüsselten Zugriff auf Linux / Unix Systeme. Auch wir benutzen sehr oft ssh oder ssh-verschlüsselte Tunnels für den Zugriff auf unsere Server. Etwas beunruhigend wirkt dann, wenn man tausende von Anmeldeversuchen in den logs sieht, die offenbar automatisiert versuchen, ein Benutzername und Passwort zu erraten.
Sind wirklich alle Login mit sicherem Passwort versehen?

Um diesen Brute force Attacken generell vorzubeugen verwenden wir auf allen Systemen sshblock.sh von Rainer Wichmann. Dieses einfache Script ist schnell installiert und schützt das System sehr effektiv.

Installationsanleitung:

  • sshblock.sh herunterladen und unter /usr/local/bin/sshblock.sh speichern
  • Ausführbar machen mit ‘chmod 755 /usr/local/bin/sshblock.sh’
  • folgende drei zeilen am Ende von /etc/hosts.allow einfügen:
#__START_SSHBLOCK__ #__END_SSHBLOCK__ sshd : ALL : spawn (/usr/local/bin/sshblock.sh %a)&

Konfiguration:
Falls nötig sind am Anfang des Scripts: /usr/local/bin/sshblock.sh wenig Konfigurationseinstellungen vorzunehmen:<tt>

DONTBLOCK=10.0.0
IP Adressen, die nicht blockiert werden sollen

BURST_MAX=7
BURST_TIM=90
IP blockieren wenn innert BURST_TIM (Sekunden) mehr als BURST_MAX Loginversuche stattfinden.

PURGE_TIM=1800
Blockierung nach dieser Anzahl Sekunden aufheben

</tt>Eine Englische Anleitung zu diesem Script, wie auch alternative Lösungen gibts unter<tt> </tt>
http://www.la-samhna.de/library/brutessh.html#5