Denyhosts ist ein wirklich feines Tool, wenn man IPtables nicht nutzen kann und trotzdem Bruteforce-Attacken auf den SSHD stoppen will. Allerdings macht sich ein wirklich ungutes Gefuehl in der Magengegend breit, wenn alle paar Stunden Berichte von geblocken Angriffen im Postfach eintreffen. 
Mein Tipp daher: SSHD auf nen anderen Port legen, denyhosts sicherheitshalber weiter laufen lassen und die Ruhe geniessen.
Ich hab den SSH Port auch in einen höheren Bereich verlegt, das hat den Vorteil das ich nicht noch ein zusätzliches Softwarepaket warten muss. Denyhosts ist zwar ne hübsche Sache, aber mal ehrlich. Mit was für Zeug man einen Server teilweise zu müllen kann ist nicht mehr feierlich. Alles nützliche Helferlein, aber je mehr man drauf hat um so mehr können auch diese eine Plage werden. Ich versuch mir in erster Linie immer mit Bordmitteln zu helfen, bevor ich was anderes draufklatsche. Aber das ist wohl auch eine Frage der Philosophie.
Diese Wortbuchattacken sind zwar nervig, aber nicht wirklich gefährlich, wer seine Kisten halbwegs sinnvoll konfiguriert sollte sich um die Dinger keine Sorgen machen müssen, das nervige sind nur die Logeinträge.
Ich gebe dir vollkommen recht. Sichere Passwoerter oder noch besser einloggen mit Passphrase geschuetzem Keyfile und Verbieten des root-Login sind ein sehr guter Schutz.
Da denyosts allerdings kaum Ressourcen frisst und recht gut arbeitet, habe ich bis her keinen Grund das Teil rauszuwerfen,
ich habe ausschliesslich den Port in einen hohen Bereich verlegt, und seit dem 99,9 % Ruhe.
@daniel,
aber das ja auch keine lösung oder liege ich da falsch? Warum etwas nicht schützen, sondern verstecken? Den Port kann man finden und wenn sich jemand mühe gibt, findet er ihn auch.
Die Frage kann ich beantworten:
Es geht um automatisierte Woerterbuchattacken. Diese Scripte oder Bots probieren einfach die gaengigen User und Passworter auf dem Default Port durch.
Wenn man den SSHD auf nen anderen Port legt, gehen diese Angriffe ins leere, da eben nicht geprueft wird auf welchem Port der SSHD lauscht.
Klar kann jemand, der direkt auf meinen Server aus ist, nen portscan etc. machen, aber solche nervigen, automatisierten Angriffe werden dadurch unterbunden.
Falls jemand trotzdem nen Woerterbuchangriff auf den anderen Port vorhat, wird denyhosts brav seine Arbeit erledingen und diesen Angriff blocken.
Ich habe seit langem fail2ban in Zusammenarbeit mit ipt_tarpit auf dem Rootserver am laufen - ohne irgendwelche Probleme.
Naja Problem is eben grade, dass ich nen Vserver hab und somit weder Module laden noch patchen kann.
Wie ich schon erwaehnt habe, kann ich ja aus diesem Grund keine IPTables nutzen.
Ich verwende ipt_tarpit bei solchen Leuten. So werden die Dronen zuverlässig gestopt und man kann den sshd auf auf port 22 laufen lassen. Eine andere Alternative wäre auch noch port knocking.
HTH
Tim
