NERD hat`s

Server sichern!

Immer und immer wieder ... Zugriffsversuche von fremden Maschinen ohne erforderliche Rechte. Das nervt! Leider nervt es nicht nur uns - es stresst auch die Server ein bisschen. Aber wie mit dem Aussperren hinterherkommen?

Der automatisierte Türsteher für LINUX.

Klar gibt`s auch für den ssh-Daemon einiges an Methoden, die schon an sich recht wirkungsvoll sind (MaxAuthTries / MaxStartUps / AllowUsers). Trotzdem probieren Sie es immer wieder - ich will rein obwohl ich nicht darf! Damit das nicht Überhand nimmt, haben wir die meisten Schlingel per iptables ausgesperrt - aber es werden immer mehr. Daher unser Versuch das ganze zu automatisieren. Bisher klappt das prima - und so haben wir das gemacht:

1. Alle bisher geblockten IPs in eine Datenbank.

2. Jede 15 Minuten die neuen "Failed" Logins parsen und nach IP sortiert in eine Datenbank schreiben. Wer mehr als 10 fails in 15 Minuten hat und noch nicht blocked ist (siehe 1.)  der fliegt (iptables -A INPUT -s SCHLINEGLIP -j DROP)

3. Alles per E-Mail an den Admin

Wir generieren mit unseren Scripten so nicht nur eine Übersicht der "bösen" IPs sondern auchnoch eine der am häufigsten verwendeten Benutzernamen, der häufigsten Angriffszeiten, etc.

Zur Überwachung auf unseren Servern haben wir derzeit u.a. die freien Programme Munin und Monit laufen. Für Mails und co ist SpamAssassin, greylist und clamav am start.

Sprechen Sie uns ruhig an, wenn Sie Fragen zum Thema haben.