<br><br><div class="gmail_quote">On Wed, Nov 26, 2008 at 7:40 AM, Andy Kosela <span dir="ltr"><<a href="mailto:akosela@andykosela.com">akosela@andykosela.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d">On Wed, Nov 26, 2008 at 1:19 AM, Jonathan <<a href="mailto:jonathan@kc8onw.net">jonathan@kc8onw.net</a>> wrote:<br>
> Is anyone else seeing the usual ssh attacks go distributed?  I'm seeing<br>
> failed usernames from a large variety of address going by in a slow<br>
> alphabetical list.  I guess I will have to actually change ssh to an<br>
> alternate port to quiet the logs a bit :P  Anyone have any other<br>
> suggestions or is that the best workaround these days?<br>
<br>
</div>I think we discussed this not so long ago on this list. pf(4),<br>
sshd_config(5) or hosts_options(5) are usually my options. Also I<br>
don't think it's very reasonable to open sshd(8) to the whole world,<br>
just limit it to specific ip's/networks. In the worst scenario you can<br>
even ignore this type of messages as I don't really think that they<br>
can be successful if you follow strict guidelines on strong passwords<br>
and disable root ssh access (which FreeBSD has as a default option).<br>
But of course it's best to get rid of them.<br>
<font color="#888888"><br>
--<br>
Andy Kosela<br>
ora et labora<br>
</font><div><div></div><div class="Wj3C7c">_______________________________________________<br>
talk mailing list<br>
<a href="mailto:talk@lists.nycbug.org">talk@lists.nycbug.org</a><br>
<a href="http://lists.nycbug.org/mailman/listinfo/talk" target="_blank">http://lists.nycbug.org/mailman/listinfo/talk</a><br>
</div></div></blockquote></div><br><br>You should check out denyhosts. It will cut down on these attacks from a single ip because it blocks ips based on failed attempts. Just be sure to set the limit so you don't lock yourself out one day.<br>
<br>--Dan<br>