nachdem mich mehrere monate ssh brute force attack auf meine webserver genervt hatte, habe ich nun gegenmassnahmen ergriffen. zwar stellen diese angriffe keine wirkliche bedrohung dar, da sie eher schwache benutzernamen/passwort kombinationen ausprobieren und solche accounts auf meinen hosts nicht existieren, trotzdem füllten diese attacken meine logfiles und erzeugten warnungen vom logcheck.
mit dem iptables_recent modul ist es möglich, verbindungen in einen zeitlichen kontext zu setzen und dann bestimmte aktionen zu triggern. neue rules in der firewall sorgen dafür, dass maximal vier ssh connects innerhalb von 60 sekunden von einer ip adresse zugelassen werden. dieses sperrt die tools der script kiddies effektiv aus. :)