Langsam gingen mir die dauernden Dictionary Attacks auf den neuen Webserver bei meiner Arbeit auf den Keks, vor allem flutet es einem die Mailbox, wenn man Tools wie LogSentry laufen hat. Eigentlich verhalten diese Scanner sich ja schon sowas von auffällig, daß man jede auffällige IP sofort in eine Blacklist entsorgen könnte. Da auf dem Server keine Firewall aktiviert ist (braucht ein sauber konfiguriertes System ja auch nicht), mußte ich mir überlegen, wie man die Hosts am besten blockiert. Da bietet sich natürlich /etc/hosts.deny prima für an. Also hab ich mir – Gentoo sei Dank – alles gleich mal mit tcpd-Support neu compiliert. Ein bißchen Google beantwortete meine Frage schnell, wie ich die IPs von den Logfiles in die hosts.deny bekomme: DenyHosts.
Das Programm startet man am besten als Daemon. So überwacht es jetzt alle paar Sekunden die Logfiles auf schwachsinnige SSH-Loginversuche und sperrt die IP einfach aus. Praktischerweise kann es noch mit einem zentralen Server syncen, so daß ich auch IPs reinbekomme, die noch gar nicht versucht haben, bei mir zu connecten. Das Ding ist einfach wunderbar: Über 1000 Login-Versuche pro Tag sind auf gerade mal einen pro drei Tage zurück gegangen. Sogar reine Scans nach offenen SSH-Ports haben deutlich nachgelassen – eigentlich kommen sogar nur noch solche – Loginversuche gar keine mehr. Dafür gibt es ein „thumbs-up“. Endlich wieder Ruhe in der Mailbox.
