5
Badips.com alternative?
Guten Tag!
Um log-clutter durch SSH brute-force Loginversuche an meinen Servern gering zu halten, habe ich bis vor kurzem die IP-Listen von badips.com verwendet um Loginversuche bereits per iptables zu blockieren.
Das System hat bis vor kurzem gut funktioniert, aber leider scheint sich das Projekt mehr schlecht als recht aufrecht zu erhalten, zumindest was die Erreichbarkeit der API angeht.
Daher suche eine alternative, aktiv gewartete Liste von IP-Adressen bekannter SSH-Angreifer, ähnlich wie badips.com, also gratis und von der community gepflegt.
Kann mir dazu jemand einen Tip geben?
mfg
Cthluhu
Um log-clutter durch SSH brute-force Loginversuche an meinen Servern gering zu halten, habe ich bis vor kurzem die IP-Listen von badips.com verwendet um Loginversuche bereits per iptables zu blockieren.
Das System hat bis vor kurzem gut funktioniert, aber leider scheint sich das Projekt mehr schlecht als recht aufrecht zu erhalten, zumindest was die Erreichbarkeit der API angeht.
Daher suche eine alternative, aktiv gewartete Liste von IP-Adressen bekannter SSH-Angreifer, ähnlich wie badips.com, also gratis und von der community gepflegt.
Kann mir dazu jemand einen Tip geben?
mfg
Cthluhu
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 370481
Url: https://administrator.de/contentid/370481
Printed on: April 25, 2024 at 04:04 o'clock
5 Comments
Latest comment
Hi.
Also ich mach das inzwischen anders, und zwar per Port-Knocking.
Per Default sind die Ports erst mal zu.
Kurz bevor ich mich per SSH einwählen möchte "klopfe" ich mit einem Paket bei einem bestimmten High-Port an, das startet auf dem Server ein Skript das die anklopfende IP für 1 Minute in eine IPTables Whitelist verfrachtet welche für den SSH Port freigeschaltet wird. Dann log ich mich per SSH ein und bin durch relelated,established weiterhin online. Simple but effective.
Alternativ natürlich wie immer => VPN vorschalten.
Gruß Schnuffi
Also ich mach das inzwischen anders, und zwar per Port-Knocking.
Per Default sind die Ports erst mal zu.
Kurz bevor ich mich per SSH einwählen möchte "klopfe" ich mit einem Paket bei einem bestimmten High-Port an, das startet auf dem Server ein Skript das die anklopfende IP für 1 Minute in eine IPTables Whitelist verfrachtet welche für den SSH Port freigeschaltet wird. Dann log ich mich per SSH ein und bin durch relelated,established weiterhin online. Simple but effective.
Alternativ natürlich wie immer => VPN vorschalten.
Gruß Schnuffi
Hallo @135799
Danke fürs übern Tellerrand blicken. Portknocking hatte ich auch schon am Radar. Leider ist dafür der Umstellaufwand (sowohl auf Server, aber vor allem aber bei allen Clients) deutlich höher als den IP-Listenprovider zu wechseln.
mfg
Cthluhu
Danke fürs übern Tellerrand blicken. Portknocking hatte ich auch schon am Radar. Leider ist dafür der Umstellaufwand (sowohl auf Server, aber vor allem aber bei allen Clients) deutlich höher als den IP-Listenprovider zu wechseln.
mfg
Cthluhu
Hallo,
Anstatt das bei allen Clients zu machen reicht es doch das auf einem Jump PC zu machen... und von dort bequem weiter...
Wenn es nur um ein Netz geht...
Brammer
Anstatt das bei allen Clients zu machen reicht es doch das auf einem Jump PC zu machen... und von dort bequem weiter...
Wenn es nur um ein Netz geht...
Brammer
Du kannst auch wenn die Clients alle über einen Router (selbe IP haben) gehen auch per Cron den Server über einen Port Aufrufen wodurch der Server dann weiß die IP in die Whitelist für SSH nehmen.
Moin,
und was ist wenn Du die Kisten auf KeyAuth umstellst und ggf. Ausnahmen für vertrauenswürdige interne Netze definierst?
Klar ist Arbeit, aber dann hast Du die Kisten dicht und kannst viele Zugriffsversuche einfach ignorieren.
Notfalls nagelst Du die Kiste mit Fail2Ban noch weiter zu.
Ich habe mich auf KeyAuth und und Mitgliedschaft in der Gruppe SSHUsers beschränkt.
-teddy
und was ist wenn Du die Kisten auf KeyAuth umstellst und ggf. Ausnahmen für vertrauenswürdige interne Netze definierst?
Klar ist Arbeit, aber dann hast Du die Kisten dicht und kannst viele Zugriffsversuche einfach ignorieren.
Notfalls nagelst Du die Kiste mit Fail2Ban noch weiter zu.
Ich habe mich auf KeyAuth und und Mitgliedschaft in der Gruppe SSHUsers beschränkt.
-teddy
