Hallo,
ist es irgendwie möglich den sshd so zu konfigurieren, dass nur 3 Login-Versuche von einer IP eine gewisse Zeit(sagen wir 5min) diese IP zu sperren.
Ich habe nämlich gerade die logs von meinem Web-Server mal durchgeschaut und gesehen, dass jemand seit tagen per Brute-Force versucht sich auf diesem anzumelden.
Vielleicht wisst Ihr noch eine anderes "Gegenmittel" dagegen. Bin für Vorschläge offen. :-)
Gruß, David
Hallo David,
On Thu, 14 Apr 2005 11:10:19 +0200 David Seidel david.seidel@one-jinx.de wrote:
Vielleicht wisst Ihr noch eine anderes "Gegenmittel" dagegen. Bin für Vorschläge offen. :-)
Ich hatte so ein ähnliches Problem mal. Da wurden immer so 30 bis 40 versuche gegen root gestartet. Hab dann dem sshd gesagt, dass root nicht mehr darf. Seitdem hab ich Ruhe.
Als welcher User versucht sich der Angreifer denn?
Grüße, Christoph
Hallo Christoph,
Ich hatte so ein ähnliches Problem mal. Da wurden immer so 30 bis 40 versuche gegen root gestartet. Hab dann dem sshd gesagt, dass root nicht mehr darf. Seitdem hab ich Ruhe.
Hab ich schon gemacht, aber der lässt mich trotzdem nicht in Ruhe. :-)
Als welcher User versucht sich der Angreifer denn?
Der probiert Standard-Login-Namen aus wie "test" oder "guest", aber auch "tomcat", "joe", "barbara", usw.. Wird also irgendein automatisierter Angriff sein. Allerdings mach ich mir schon etwas Sorgen. Schliesslich ist das SuSE 9.1 das da drauf ist zwar auf dem neuesten Stand, aber soweit ich weiss, ist SuSE nicht unbedingt die sicherste Distribution.
Gruß, David
Hi David,
On Thu, Apr 14, 2005 at 11:41:05 +0200, David Seidel wrote:
Als welcher User versucht sich der Angreifer denn?
Der probiert Standard-Login-Namen aus wie "test" oder "guest", aber auch "tomcat", "joe", "barbara", usw.. Wird also irgendein automatisierter Angriff sein. Allerdings mach ich mir schon etwas Sorgen. Schliesslich ist das SuSE 9.1 das da drauf ist zwar auf dem neuesten Stand, aber soweit ich weiss, ist SuSE nicht unbedingt die sicherste Distribution.
Hast Du schonmal ueber Portknocking nachgedacht?
bye, Chris
Am Donnerstag, 14. April 2005 11:41 schrieb David Seidel:
Hallo Christoph,
Ich hatte so ein ähnliches Problem mal. Da wurden immer so 30 bis 40 versuche gegen root gestartet. Hab dann dem sshd gesagt, dass root nicht mehr darf. Seitdem hab ich Ruhe.
Hab ich schon gemacht, aber der lässt mich trotzdem nicht in Ruhe. :-)
Als welcher User versucht sich der Angreifer denn?
Der probiert Standard-Login-Namen aus wie "test" oder "guest", aber auch "tomcat", "joe", "barbara", usw.. Wird also irgendein automatisierter Angriff sein. Allerdings mach ich mir schon etwas Sorgen. Schliesslich ist das SuSE 9.1 das da drauf ist zwar auf dem neuesten Stand, aber soweit ich weiss, ist SuSE nicht unbedingt die sicherste Distribution.
Dieser "Angriff" probiert nur schwache Passworte durch. Diese Passworte werden bei anderen Distributionen auch nicht sicherer. Tritt da mal lieber deinen Anwendern in Kreuz. Ansonsten kannst du komplett auf die public-key Methode umstellen und Passwörter verbieten. "PasswordAuthentication no" Dann sind diese Wörterbuchattacken sinnlos.
Das einzige Problem/Ärgernis sind die sich füllenden log-files. Und da musst du mMn auf die schon erwähnten Mittel zurückgreifen. Interessant ist eventuell eine OpenBSD-Firewall mit pf-auth. Dann muss sich der Nutzer erst an der Firewall authentifizieren und erst dann wird der Port freigeschaltet. (Evt. mit portknocking vergleichbar)
Jens
David Seidel schrieb:
Hallo Christoph,
Ich hatte so ein ähnliches Problem mal. Da wurden immer so 30 bis 40 versuche gegen root gestartet. Hab dann dem sshd gesagt, dass root nicht mehr darf. Seitdem hab ich Ruhe.
Hab ich schon gemacht, aber der lässt mich trotzdem nicht in Ruhe. :-)
Als welcher User versucht sich der Angreifer denn?
Der probiert Standard-Login-Namen aus wie "test" oder "guest", aber auch "tomcat", "joe", "barbara", usw.. Wird also irgendein automatisierter Angriff sein. Allerdings mach ich mir schon etwas Sorgen. Schliesslich ist das SuSE 9.1 das da drauf ist zwar auf dem neuesten Stand, aber soweit ich weiss, ist SuSE nicht unbedingt die sicherste Distribution.
Schreibe in die /etc/ssh/sshd_conf:
AllowUsers "hier_der_user_deiner_Wahl"
Nach einem Neustart des sshd, darf sich ausschließlich mit dem in der _conf eingetragenen Loginnamen angemeldet werden.
ps. Die Dummfangscripte sind keine Aufregung wert. Oder verwendest du Vornamen und ähnlichen "Käse" als Passwörter?
MfG, Frank
On Thu, Apr 14, 2005 at 11:41:05AM +0200, David Seidel wrote:
sein. Allerdings mach ich mir schon etwas Sorgen. Schliesslich ist das SuSE 9.1 das da drauf ist zwar auf dem neuesten Stand, aber soweit ich weiss, ist SuSE nicht unbedingt die sicherste Distribution.
Was veranlaßt dich zu der Vermutung? :-)
Hallo Stefan,
Was veranlaßt dich zu der Vermutung?
Ich muss gestehen, dass ist gefährliches Halbwissen, da ich selber mich zwar ganz gut mit Linux auskenne, aber im direkten Vergleich z.B. Debian und SuSE keine Einschätzung machen kann, welche von beiden nun sicherer ist. Ich hab es eben mal "gehört". Ich weiss nur, dass das Update von Debian-Systemen eindeutig schöner ist und das SuSE im Gegensatz zu Debian wenig Freiheiten lässt.
David
David Seidel david.seidel@one-jinx.de (Do 14 Apr 2005 11:10:19 CEST):
Hallo,
ist es irgendwie möglich den sshd so zu konfigurieren, dass nur 3 Login-Versuche von einer IP eine gewisse Zeit(sagen wir 5min) diese IP zu sperren.
Ich könnte mir ein PAM-Modul vorstellen, das solche Dinge kann... weiß aber nicht, ob's das gibt. Mal eins schreiben?
Heiko
Hallo allerseits,
danke für die vielen Vorschläge.
Ich könnte mir ein PAM-Modul vorstellen, das solche Dinge kann... weiß aber nicht, ob's das gibt. Mal eins schreiben?
Hast Du eine gute Seite im Netz wo erklärt wird wie man sowas schreibt?
Dein Plan *könnte* mit fwlogwatch funktionieren, das kann als Daemon laufen, welcher das Log beobachtet und auch Aktionen triggern.
Das werd ich bei Gelegenheit mal ausprobieren. Was für Aktionen könntest Du Dir vorstellen?
Hast Du schonmal ueber Portknocking nachgedacht?
Nein ... aber ich werd mal danach "googlen". :-)
Ich hatte aber gehofft, da gibt es irgendein Bordmittel. Der "normale" User-Login erlaubt soweit ich weiss sowas doch auch.
David
am 14.04.2005, um 11:10:19 +0200 mailte David Seidel folgendes:
Hallo,
ist es irgendwie möglich den sshd so zu konfigurieren, dass nur 3 Login-Versuche von einer IP eine gewisse Zeit(sagen wir 5min) diese IP zu sperren.
Neben den vielen anderen Antworten:
Dein Plan *könnte* mit fwlogwatch funktionieren, das kann als Daemon laufen, welcher das Log beobachtet und auch Aktionen triggern.
Andreas
David Seidel wrote:
Hallo,
ist es irgendwie möglich den sshd so zu konfigurieren, dass nur 3 Login-Versuche von einer IP eine gewisse Zeit(sagen wir 5min) diese IP zu sperren.
Ich habe nämlich gerade die logs von meinem Web-Server mal durchgeschaut und gesehen, dass jemand seit tagen per Brute-Force versucht sich auf diesem anzumelden.
Vielleicht wisst Ihr noch eine anderes "Gegenmittel" dagegen. Bin für Vorschläge offen. :-)
Ein schneller Weg: Einfach die IP-Pakete wegwerfen vom Angreifer... iptables -I INPUT 1 -s <böseIP> --protocol tcp --dport 22 -j REJECT
Gruß, David
Ciao, Thomas
am 15.04.2005, um 8:09:58 +0200 mailte Thomas Köhler folgendes:
David Seidel wrote:
Hallo,
ist es irgendwie möglich den sshd so zu konfigurieren, dass nur 3 Login-Versuche von einer IP eine gewisse Zeit(sagen wir 5min) diese IP zu sperren.
Ich habe nämlich gerade die logs von meinem Web-Server mal durchgeschaut und gesehen, dass jemand seit tagen per Brute-Force versucht sich auf diesem anzumelden.
Vielleicht wisst Ihr noch eine anderes "Gegenmittel" dagegen. Bin für Vorschläge offen. :-)
Ein schneller Weg: Einfach die IP-Pakete wegwerfen vom Angreifer... iptables -I INPUT 1 -s <böseIP> --protocol tcp --dport 22 -j REJECT
^ Fipptehler?
Ja, genau. Und weil man vorher die IP des bösen Angreifers nicht kennt, erstellt man für alle IPs mal gleich so eine Regel...
Andreas
Hallo Thomas,
Ein schneller Weg: Einfach die IP-Pakete wegwerfen vom Angreifer... iptables -I INPUT 1 -s <böseIP> --protocol tcp --dport 22 -j REJECT
Das klingt nach einer guten Idee. Das Problem ist bloß wie unterscheide ich zwischen einer "bösen" und einer "guten" IP? Vor allem wechselt die IP ja stündlich. Demzufolge müsste ich die config ständig ändern. Vielleicht kann man ja so eine Regel erstellen lassen und nach einer gewissen Zeit wieder automatisiert löschen lassen.
David
Am Freitag, den 15.04.2005, 11:15 +0200 schrieb David Seidel:
Ein schneller Weg: Einfach die IP-Pakete wegwerfen vom Angreifer... iptables -I INPUT 1 -s <böseIP> --protocol tcp --dport 22 -j REJECT
Das klingt nach einer guten Idee. Das Problem ist bloß wie unterscheide ich zwischen einer "bösen" und einer "guten" IP? Vor allem wechselt die IP ja stündlich. Demzufolge müsste ich die config ständig ändern. Vielleicht kann man ja so eine Regel erstellen lassen und nach einer gewissen Zeit wieder automatisiert löschen lassen.
Filter doch einfach nach dem Evil-Bit...
HTH, SCNR, Eric
On 15.04.05 David Seidel (david.seidel@one-jinx.de) wrote:
Moin,
werd das wohl etwa so umsetzen: cat /dev/eth0 | grep "I'm the evil bit" > /dev/null ^^^^^^^^^^^^^
Auf meiner Büchse habe ich noch nie eine Representation eines Netzwerkdevices unter /dev gesehen.
H.
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Christian Perle -
Christoph Mueller -
David Seidel -
Eric Schaefer -
Frank Berek -
Heiko Schlittermann -
Hilmar Preusse -
Jens Weisse -
Stefan Seyfried -
Thomas Köhler