Hallo Reiner,

ich wollte hier mal eine Warnung geben!
In den letzten Tagen mehren sich bei uns auf allen im Internet verfügbaren Servern heftige Attacken auf SSH.
Dabei werden Usernamen durchgetestet. Dann wird versucht, das PW von root zu treffen und dann gibt es noch einen kurzen Portscan (wahrscheinlich um festzustellen, ob sshd verschoben wurde).

Kann das jemand bei seinem Server bestätigen?
(/var/log/messages)

Da findet sich bei mir zum Schlagwort "ssh" nichts - bei mir gibt's eine /var/log/auth.log.
Und die hat so wie es aussieht bis jetzt keine Einträge von irgendwelchen Programmen, die versuchen, sich auf unserem Server einzuloggen - bis auf unsere eigenen, latürnich. ;-)

Um solchen Attacken dennoch vorzubeugen, gibt es jede Menge Dinge, die man unternehmen kann:

• Login von root verhindern ("PermitRootLogin no")
• anderen Port als 22 setzen ("Port x")
• mit AllowGroups und AllowUsers die Gruppen bzw. Benutzer angeben, die sich einloggen dürfen
• sichere Passwörter

Wenn man das unternimmt und auch sonst keine unsicheren Einstellungen vorgenommen hat, ist man eigentlich mehr auf der sicheren Seite als auf der unsicheren.

Grüße

Marc Reichelt || http://www.marcreichelt.de/