Ich habe mir mal denyhosts installiert "apt-get install denyhosts" und eingerichtet.
Funktioniert auch soweit alles. Bisher hatte ich bei den bösen IPs immer nur den "sshd" Service geblockt, dass möchte ich nun aber ändern:
1. Die bösen IPs sollen komplett geblockt (alle Dienste!) werden (sind ja eh zu 99,9% nicht aus DE).
In der "etc/denyhosts.conf" also dann mit:
HOSTS_DENY = /etc/hosts.deny
DENY_THRESHOLD_INVALID = 1
DENY_THRESHOLD_VALID = 3
DENY_THRESHOLD_ROOT = 3
BLOCK_SERVICE = ALL
Da ich "denyhosts" so eingestellt habe, das man nach der dritten falschen Eingabe dann auch geblockt wird. Möchte ich auf jeden Fall verhindern das ich mich selber durch 3 x Fehleingabe komplett vom Server sperre *g*
Da ich keine feste IP habe muss ich das halt anders regeln, mir würde auch reichen wenn ich zumindest immer reinkomme wenn ich meinen Provider nutze, da ich von dem Provider wiederum nicht alle IP-Kreise kenne, kann ich das nur über folgende Adresse lösen:
Auszug aus der auth.log
logname= uid=0 euid=0 tty=ssh ruser= rhost=ip-95-223-YYY-XXX.unitymediagroup.de
Kann ich das auch mit "ip-95-223-YYY-XXX.unitymediagroup.de" irgendwie machen? sprich das ich alles durchlasse was die Kennung "*.unitymediagroup.de" hat?
Ich also in "/var/lib/denyhosts/"
Die Datei "allowed-hosts" anlege mit dem Inhalt:
95.223.171.*
unitymediagroup.de
Laut dem was ich so per google über "denyhosts" gefunden habe, geht das mit "*" wohl nur wenn man mindestens die ersten 3 IP-Zahlen kennt?
2. Das ich den "root" aus Sicherheitsgründen ändern sollte ist mir bekannt. Aber andererseits kommen ja auch da gezielt die Angriffe meistens drüber, kann man das nicht auch positiv nutzen wie folgt:
per "etc/denyhosts.conf"
den Eintrag "DENY_THRESHOLD_ROOT = 1" auf 1 setzen das nach dem ersten falschen root-Login die IP KOMPLETT geblockt wird von denyhosts, ich aber trotzdem selbst über die in Punkt 1. erstellten "whitelist"-Eintrag für meinen Provider noch reinkomme per "root" ?
3. Ist die "/var/lib/denyhosts/allowed-hosts" vorrangig zu einem in "/var/lib/denyhosts/restricted-usernames" angelegten verbotenen user?
a) Sprich also ich lege zB für mich einen pseudo-Namen an "cheffe", schreibe ihn in die "/var/lib/denyhosts/restricted-usernames" als verbotenen Namen, logge mich allerdings mit einer IP ein die in "/var/lib/denyhosts/allowed-hosts" steht, kann ich dann trotzdem mit dem Namen "cheffe" per ssh connecten?
b) könnte ich so auch den "root" behalten, für alle sperren ausser wenn er von MEINER IP / unitymediagroup.de kommt ?