[Eisfair_dev] [eisfair-64] Paket sshguard 0.9.0
Ansgar Püster
ansgar.puester at netcologne.de
Mo Jul 6 08:57:19 CEST 2020
Moin Marcus,
Am 05.07.2020 um 20:49 schrieb Marcus Röckrath:
> Hallo Ansgar,
>
> Ansgar Püster wrote:
>
>>> Laut Homepage ist die Beobachtung weiterer Ports erst im Laufeder
>>> Entwicklung hinzugekommen, also ar es ursprünglich wohl doch eher ein
>>> reiner ssh-Blocker.
Es werden übrigens keine Ports überwacht, sondern Meldungen in
einem Log analysiert. Siehe
https://web.archive.org/web/20180218092827/https://www.sshguard.net/docs/reference/attack-signatures/
>> Meines Erachtens ist das eine Frage der Implementierung des
>> Block-Mechanismus. Schränkt man z.B. die entsprechende iptables-
>> Regel via multiport Angabe auf 21,22 oder andere, konfigurierbare
>> Ports ein, so blockt sshguard halt ftp und ssh, aber auch nur das.
>
> Ich habe mich auf der Seite nicht genauer eingelesen, ob man den Umfang der
> Port-Blockade konfigurieren kann.
Das kann man ziemlich frei bestimmen. Sebastian blockiert (DROP)
derzeit alle Pakete der IP Adresse von der die Attacke gekommen
ist. Ich habe die entsprechende Stelle, an der die iptables Regel
erstellt wird mal abgeändert:
/usr/sbin/iptables -w -A INPUT -m multiport -p tcp --destination-ports
21,22 -m set --match-set "$IPSET_NAME" src -m comment --comment "DROP"
-j DROP
Dann werden "nur" noch tcp-Pakete auf Port 21 und 22 blockiert (DROP).
Aber, wir gesagt, wenn klar ist, dass eine Totalblockade gewünscht
ist, so sollte das natürlich so bleiben.
So weit erst mal.
Gruß,
Ansgar
Mehr Informationen über die Mailingliste Eisfair_dev