Heißa, Reiner,

Kann das jemand bei seinem Server bestätigen?
(/var/log/messages)

In meiner /var/log/auth.log finde ich nur pro Tag etwa einen Versuch, der sofort fehlschlägt, da versucht wird, ohne einen RSA-Schlüssel zu authentifizieren. Hier stecken höchstwahrscheinlich keine Bots dahinter, sondern ein paar neugierige, die halt mal schauen wollen, ob sie nicht rein zufällig ohne Passwort auf den Server kommen. Nichts Auffälliges also.

Ich glaube aber, dass ich mich auch ganz gut abgesichert habe: Für Benutzer meines Servers ist Public-Key-Anmeldung über die SSH Pflicht, ebenso ist nur SFTP möglich. Auf diese Weise möchte ich Bruteforce-Attacken vorbeugen. Die Systempasswörter werden eigentlich nur fürs E-Mail-Abholen verwendet, die Benutzer, die keine E-Mail-Adresse brauchen, haben also gar kein Passwort. Und wenn jemand über eine POP3-Bruteforce-Attacke ein Systempasswort herausbekommt, bringt ihm das ja nichts, außer, dass er die E-Mails abfangen kann.
Wogegen ich noch nichts unternommen habe, sind Bruteforce-Attacken auf HTTP-Login-Formular-Ebene. Hierzu habe ich auch noch keine vernünftige Möglichkeit gefunden, außer eben auf Seite der Webanwendung. Aber dadurch, dass man die Adressen der Adminbereiche nicht öffentlich (ob versteckt oder nicht) verlinkt, kann man denke ich auch schon einiges erreichen.

Gautera!
Grüße aus Biberach Riss,
Candid Dauth