fedora 7 fürs inet abhärten? - Seite 2

colossus · 19.12.2007, 11:07

Die Muehe eines Portscanns macht sich aber kein Scriptkiddie-Massen-SSH-Breakin-Script.
Mir is es eigentlich wurscht, wenn da ein paar tausen Anfragen pro Tag reinkommen - dank Pubkey only fuehle ich mich trotzdem sicher, und logrotate schupft den Krempel nach spaetestens 3 Monaten zum Fenster raus.

ingomar · 21.12.2007, 12:02

ich hab kein fail2ban oder sonstiges und krieg für einen "heftigeren" tag vom logwatch etwa 30 versuche von (neulich) 75.27.106.59.dedicated.sakura.ne.jp gemeldet.

wirklich stressen tut mich das nicht, viel "lustiger" sind da die stümperhaften versuche, apache irgendwelche mysql-exploits unterzuschieben (wo doch kein sql ´druff is), oder die versuche, offen zu relayen. kommt zwar nix raus, aber im log stehts auf jeden fall - und ports ändern ist da nicht. war schon genug stress, den bind als hidden primary einzurichten, da tu ich mir mit postfix nicht nochmal die tour an.

Philipp · 21.12.2007, 16:51

30 Versuche sind nicht heftig. Da habe ich schon viel schlimmeres gesehen.

Aus einen meiner LogWatch Berichte von Heute:

Zitat:

--------------------- fail2ban-messages Begin ------------------------

Banned services with Fail2Ban: Bans:Unbans
ssh: [ 9:9 ]
221.238.193.70 7:7
221.204.251.32 2:2

---------------------- fail2ban-messages End -------------------------

Diese Chinesen haben 7 Stunden versucht sich auf einen meiner Server einzuloggen. Nach 3 Versuchen wurden sie immer von Fail2Ban für eine Stunde gebannt

le bart · 23.12.2007, 00:19

gut, fail2ban läuft (dank yum sofort) aber er lässt mich auch nach x fehlversuchen noch ran... was könnt da falsch laufen? im jails.conf hab ich schon bei der iptables-action den port von ssh auf den port gestellt auf dem bei mir ssh läuft.

hier mal der output von iptables -save zur allgemeinen analyse ob eh nur ssh offen is, thx!:

Zitat:

# Generated by iptables-save v1.3.8 on Sat Dec 22 18:12:58 2007
*raw
:PREROUTING ACCEPT [10347:10178545]
:OUTPUT ACCEPT [7351:1114036]
COMMIT
# Completed on Sat Dec 22 18:12:58 2007
# Generated by iptables-save v1.3.8 on Sat Dec 22 18:12:58 2007
*nat
:PREROUTING ACCEPT [61:11420]
:POSTROUTING ACCEPT [21:1423]
:OUTPUT ACCEPT [21:1423]
COMMIT
# Completed on Sat Dec 22 18:12:58 2007
# Generated by iptables-save v1.3.8 on Sat Dec 22 18:12:58 2007
*mangle
:PREROUTING ACCEPT [10347:10178545]
:INPUT ACCEPT [10319:10168857]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7353:1114284]
:POSTROUTING ACCEPT [7353:1114284]
COMMIT
# Completed on Sat Dec 22 18:12:58 2007
# Generated by iptables-save v1.3.8 on Sat Dec 22 18:12:58 2007
*filter
:INPUT ACCEPT [10319:10168857]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7353:1114284]
:fail2ban-SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A fail2ban-SSH -j RETURN
COMMIT
# Completed on Sat Dec 22 18:12:58 2007

und fail2ban.log

Zitat:

Fail2Ban" | /usr/sbin/sendmail -f fail2ban@mail.com root returned 7f00
2007-12-22 17:23:05,662 fail2ban.comm : WARNING Invalid command: ['INFO']
2007-12-22 17:45:37,860 fail2ban.actions: WARNING [ssh-iptables] Ban 194.x.x.x. (meine IP) 2007-12-22 17:45:38,022 fail2ban.actions.action: ERROR echo -en "Subject: [Fail
2Ban] SSH: banned 194.x.x.x
From: Fail2Ban <fail2ban@mail.com>
To: root\n
Hi,\n
The IP 194.x.x.x has just been banned by Fail2Ban after
5 attempts against SSH.\n\n
Here are more information about 194.x.x.x:\n
`/usr/bin/whois 194.208.218.74`\n
Regards,\n
Fail2Ban" | /usr/sbin/sendmail -f fail2ban@mail.com root returned 7f00
2007-12-22 17:55:38,829 fail2ban.actions: WARNING [ssh-iptables] Unban 194.x.
x.x

Sloter · 23.12.2007, 09:08

Einmal geht es einmal nicht.
Ich bin für eine Sperre komplett aus dem Bereich, braucht eh keiner einen Zugriff.
http://www.okean.com/thegoods.html und Ruhe ist im Hühnerstall.

Sloter

Philipp · 23.12.2007, 12:26

Zitat:

Original geschrieben von le bart
gut, fail2ban läuft (dank yum sofort) aber er lässt mich auch nach x fehlversuchen noch ran... was könnt da falsch laufen? im jails.conf hab ich schon bei der iptables-action den port von ssh auf den port gestellt auf dem bei mir ssh läuft.

Keine Ahnung wo da das Problem liegen kann, da ich Debian 4.0 verwende.

Ich persönlich habe mit den Red Hat basierenden Distributionen die schlechtesten Erfahrungen gemacht. Leider sind dort sehr oft die Pakete nur halb oder gar nicht richtig vorkonfiguriert. Zumindest wenn man die gut vorkonfigurierten Debian Pakete gewohnt ist, sind machen RPM Pakete wirklich eine Qual

le bart · 25.12.2007, 11:22

ich weiss nur dass ich nicht weiss welches paket ich installieren muss, damit kde startet, kdm hab ich schon, aber startx is nicht vorhanden..
ist bei debian auch so gut wie alles vorkonfiguriert? ich brauch eine distri in der erstmal alles mit standardeinstellungen aus dem paketmanager heraus läuft, sonst bin ich verloren!

MindCrawler · 25.12.2007, 12:25

startx ist beim X11 dabei

LG

le bart · 26.12.2007, 19:40

http://x.cygwin.com/docs/ug/using-re...emote-apps-ssh

jetzt kann ich über ssh xclient-anwendungen starten, aber wie krieg ich jetzt kde gestartet? bei startx über cygwinx krieg ich vom remote client die meldung
cannot find a free vt: invalid argument
??
thx!

le bart · 26.12.2007, 20:40

ich probiers mit vnc

19.12.2007, 11:07	#11
colossus Master Registriert seit: 24.02.2002 Ort: Wien Alter: 40 Beiträge: 611	Die Muehe eines Portscanns macht sich aber kein Scriptkiddie-Massen-SSH-Breakin-Script. Mir is es eigentlich wurscht, wenn da ein paar tausen Anfragen pro Tag reinkommen - dank Pubkey only fuehle ich mich trotzdem sicher, und logrotate schupft den Krempel nach spaetestens 3 Monaten zum Fenster raus. ____________________________________ Free Software. Free Society. Better Lives.

21.12.2007, 12:02	#12
ingomar rh 805007434729099 Registriert seit: 03.09.2003 Ort: wien Alter: 55 Beiträge: 710	ich hab kein fail2ban oder sonstiges und krieg für einen "heftigeren" tag vom logwatch etwa 30 versuche von (neulich) 75.27.106.59.dedicated.sakura.ne.jp gemeldet. wirklich stressen tut mich das nicht, viel "lustiger" sind da die stümperhaften versuche, apache irgendwelche mysql-exploits unterzuschieben (wo doch kein sql ´druff is), oder die versuche, offen zu relayen. kommt zwar nix raus, aber im log stehts auf jeden fall - und ports ändern ist da nicht. war schon genug stress, den bind als hidden primary einzurichten, da tu ich mir mit postfix nicht nochmal die tour an.

23.12.2007, 09:08	#15
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Einmal geht es einmal nicht. Ich bin für eine Sperre komplett aus dem Bereich, braucht eh keiner einen Zugriff. http://www.okean.com/thegoods.html und Ruhe ist im Hühnerstall. Sloter

25.12.2007, 11:22	#17
le bart Veteran Registriert seit: 07.11.2003 Alter: 50 Beiträge: 393	ich weiss nur dass ich nicht weiss welches paket ich installieren muss, damit kde startet, kdm hab ich schon, aber startx is nicht vorhanden.. ist bei debian auch so gut wie alles vorkonfiguriert? ich brauch eine distri in der erstmal alles mit standardeinstellungen aus dem paketmanager heraus läuft, sonst bin ich verloren!

25.12.2007, 12:25	#18
MindCrawler Senior Member Registriert seit: 07.06.2004 Beiträge: 174	startx ist beim X11 dabei LG

26.12.2007, 19:40	#19
le bart Veteran Registriert seit: 07.11.2003 Alter: 50 Beiträge: 393	http://x.cygwin.com/docs/ug/using-re...emote-apps-ssh jetzt kann ich über ssh xclient-anwendungen starten, aber wie krieg ich jetzt kde gestartet? bei startx über cygwinx krieg ich vom remote client die meldung cannot find a free vt: invalid argument ?? thx!

26.12.2007, 20:40	#20
le bart Veteran Registriert seit: 07.11.2003 Alter: 50 Beiträge: 393	ich probiers mit vnc

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)