cthluhu
Goto Top

Badips.com alternative?

Guten Tag!

Um log-clutter durch SSH brute-force Loginversuche an meinen Servern gering zu halten, habe ich bis vor kurzem die IP-Listen von badips.com verwendet um Loginversuche bereits per iptables zu blockieren.
Das System hat bis vor kurzem gut funktioniert, aber leider scheint sich das Projekt mehr schlecht als recht aufrecht zu erhalten, zumindest was die Erreichbarkeit der API angeht.
Daher suche eine alternative, aktiv gewartete Liste von IP-Adressen bekannter SSH-Angreifer, ähnlich wie badips.com, also gratis und von der community gepflegt.
Kann mir dazu jemand einen Tip geben?

mfg

Cthluhu

Content-Key: 370481

Url: https://administrator.de/contentid/370481

Printed on: February 2, 2023 at 21:02 o'clock

Mitglied: 135799
135799 Apr 07, 2018 updated at 14:57:44 (UTC)
Goto Top
Hi.
Also ich mach das inzwischen anders, und zwar per Port-Knocking.
Per Default sind die Ports erst mal zu.
Kurz bevor ich mich per SSH einwählen möchte "klopfe" ich mit einem Paket bei einem bestimmten High-Port an, das startet auf dem Server ein Skript das die anklopfende IP für 1 Minute in eine IPTables Whitelist verfrachtet welche für den SSH Port freigeschaltet wird. Dann log ich mich per SSH ein und bin durch relelated,established weiterhin online. Simple but effective.

Alternativ natürlich wie immer => VPN vorschalten.

Gruß Schnuffi
Member: Cthluhu
Cthluhu Apr 07, 2018 at 15:04:21 (UTC)
Goto Top
Hallo @135799

Danke fürs übern Tellerrand blicken. Portknocking hatte ich auch schon am Radar. Leider ist dafür der Umstellaufwand (sowohl auf Server, aber vor allem aber bei allen Clients) deutlich höher als den IP-Listenprovider zu wechseln.

mfg

Cthluhu
Member: brammer
brammer Apr 07, 2018 at 16:06:32 (UTC)
Goto Top
Hallo,

Anstatt das bei allen Clients zu machen reicht es doch das auf einem Jump PC zu machen... und von dort bequem weiter...
Wenn es nur um ein Netz geht...

Brammer
Member: kaiand1
kaiand1 Apr 07, 2018 at 17:32:06 (UTC)
Goto Top
Du kannst auch wenn die Clients alle über einen Router (selbe IP haben) gehen auch per Cron den Server über einen Port Aufrufen wodurch der Server dann weiß die IP in die Whitelist für SSH nehmen.
Member: magicteddy
magicteddy Apr 07, 2018 at 17:40:35 (UTC)
Goto Top
Moin,

und was ist wenn Du die Kisten auf KeyAuth umstellst und ggf. Ausnahmen für vertrauenswürdige interne Netze definierst?
Klar ist Arbeit, aber dann hast Du die Kisten dicht und kannst viele Zugriffsversuche einfach ignorieren.
Notfalls nagelst Du die Kiste mit Fail2Ban noch weiter zu.
Ich habe mich auf KeyAuth und und Mitgliedschaft in der Gruppe SSHUsers beschränkt.

-teddy