Hallo, nachdem bei mir eingebrochen wurde und ich das System neu aufsetzen musste, möchte ich ein paar Sicherheiten einfügen. Wenn jemand versucht einzubrechen, bekomme ich die IP-Adresse mitgeteilt. Wie kann ich es regeln, dass wenn diese IP-Adresse dreimal mit falschem Passwort versucht hat einzubrechen, diese IP-Adresse dann zu sperren? Es muss doch dafür in der Firewall etwas aktiviert werden. Ich habe noch nicht gefunden, wo das aktiviert wird. Ich bitte um eure Hilfe. Danke Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Zitat von Bernhard Junk
Hallo, nachdem bei mir eingebrochen wurde und ich das System neu aufsetzen musste, möchte ich ein paar Sicherheiten einfügen.
Wenn jemand versucht einzubrechen, bekomme ich die IP-Adresse mitgeteilt. Wie kann ich es regeln, dass wenn diese IP-Adresse dreimal mit falschem Passwort versucht hat einzubrechen, diese IP-Adresse dann zu sperren? Es muss doch dafür in der Firewall etwas aktiviert werden. Ich habe noch nicht gefunden, wo das aktiviert wird. Ich bitte um eure Hilfe. Danke Bernd
Hallo, ganz so einfach ist es nicht aber mit ein wenig Aufwand kommt man schon recht weut 1) fail2ban hilft schon mal weiter 2) Zugriffe aus dem Internet grundsätzlich verbieten bzw. nur bestimmenten Systemen erlauben, besser noch nur per VPN von aussen Zugriffe erlauben 3) Eine Firewall vorschalten die bestimmte Dienste nur an bestimmte Systeme weiterleitet. Ich empgehle da gerne Astaro/ Sopho. Ist für die privare Nutzung bis 50 IPs frei und für interessierte Poweruser auch beherrschbar. 4) Systeme die von aussen erreicbar sein sollen in eine DMZ packen. 5) Windows vermeiden wo immer es geht. 6) Systeme bottom to up aufsetzen. Minimale Installationen die Schritt für Schritt bei Bedarf erweitert werden. 7) Telnet und ftp sind böse ;-) Gruss -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 17.12.2014 12:00, schrieb Ralf Prengel:
Zitat von Bernhard Junk
: Hallo, nachdem bei mir eingebrochen wurde und ich das System neu aufsetzen musste, möchte ich ein paar Sicherheiten einfügen.
Wenn jemand versucht einzubrechen, bekomme ich die IP-Adresse mitgeteilt. Wie kann ich es regeln, dass wenn diese IP-Adresse dreimal mit falschem Passwort versucht hat einzubrechen, diese IP-Adresse dann zu sperren? Es muss doch dafür in der Firewall etwas aktiviert werden. Ich habe noch nicht gefunden, wo das aktiviert wird. Ich bitte um eure Hilfe. Danke Bernd
Hallo, ganz so einfach ist es nicht aber mit ein wenig Aufwand kommt man schon recht weut 1) fail2ban hilft schon mal weiter 2) Zugriffe aus dem Internet grundsätzlich verbieten bzw. nur bestimmenten Systemen erlauben, besser noch nur per VPN von aussen Zugriffe erlauben 3) Eine Firewall vorschalten die bestimmte Dienste nur an bestimmte Systeme weiterleitet. Ich empgehle da gerne Astaro/ Sopho. Ist für die privare Nutzung bis 50 IPs frei und für interessierte Poweruser auch beherrschbar. 4) Systeme die von aussen erreicbar sein sollen in eine DMZ packen. 5) Windows vermeiden wo immer es geht. 6) Systeme bottom to up aufsetzen. Minimale Installationen die Schritt für Schritt bei Bedarf erweitert werden. 7) Telnet und ftp sind böse ;-)
Gruss
Hi, 1. Frage ist immmer: was muss nach außen offen sein, alles andere wird durch die FW verboten. Auch die Suse-FW ist dafür ausreichend. Wenn Dein Rechner Gateway für Windows-Rechner ist, unbedingt alles zumachen, was mit Windows-Netzwerken zu tun hat 2. ssh mit fail2ban absichern 3. wenn ftp benötigt: vsftpd verwenden, dort die möglichen Einschränkungen benutzen... 4. wenn Du ssh (oder einen anderen Dienst) nicht immer anbieten musst, kannst Du auch die Zeiten noch beschränken, 90% der Angriffe aus China sind auf unseren vservern immer ab 1:30 Uhr... und das war bislang der Hauptteil der ssh-Attacken. 5. Einschränkung der Zugriffe von außen evt. auf bestimmte IP-Bereiche o.ä., wenn das geht, z.B. auf dynamische IPs aus dem Bereich der deutschen Provider (musst Du ein bisschen suchen, aber das kann man rauskriegen) -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Mittwoch 17 Dezember 2014, 14:58:28 schrieb Joerg Thuemmler:
Am 17.12.2014 12:00, schrieb Ralf Prengel:
Zitat von Bernhard Junk
: Hallo, nachdem bei mir eingebrochen wurde und ich das System neu aufsetzen musste, möchte ich ein paar Sicherheiten einfügen.
Wenn jemand versucht einzubrechen, bekomme ich die IP-Adresse mitgeteilt. Wie kann ich es regeln, dass wenn diese IP-Adresse dreimal mit falschem Passwort versucht hat einzubrechen, diese IP-Adresse dann zu sperren? Es muss doch dafür in der Firewall etwas aktiviert werden. Ich habe noch nicht gefunden, wo das aktiviert wird. Ich bitte um eure Hilfe. Danke Bernd
Hallo, ganz so einfach ist es nicht aber mit ein wenig Aufwand kommt man schon recht weut 1) fail2ban hilft schon mal weiter 2) Zugriffe aus dem Internet grundsätzlich verbieten bzw. nur bestimmenten Systemen erlauben, besser noch nur per VPN von aussen Zugriffe erlauben 3) Eine Firewall vorschalten die bestimmte Dienste nur an bestimmte Systeme weiterleitet. Ich empgehle da gerne Astaro/ Sopho. Ist für die privare Nutzung bis 50 IPs frei und für interessierte Poweruser auch beherrschbar. 4) Systeme die von aussen erreicbar sein sollen in eine DMZ packen. 5) Windows vermeiden wo immer es geht. 6) Systeme bottom to up aufsetzen. Minimale Installationen die Schritt für Schritt bei Bedarf erweitert werden. 7) Telnet und ftp sind böse ;-)
Gruss
Hi,
1. Frage ist immmer: was muss nach außen offen sein, alles andere wird durch die FW verboten. Auch die Suse-FW ist dafür ausreichend. Wenn Dein Rechner Gateway für Windows-Rechner ist, unbedingt alles zumachen, was mit Windows-Netzwerken zu tun hat 2. ssh mit fail2ban absichern 3. wenn ftp benötigt: vsftpd verwenden, dort die möglichen Einschränkungen benutzen... 4. wenn Du ssh (oder einen anderen Dienst) nicht immer anbieten musst, kannst Du auch die Zeiten noch beschränken, 90% der Angriffe aus China sind auf unseren vservern immer ab 1:30 Uhr... und das war bislang der Hauptteil der ssh-Attacken. 5. Einschränkung der Zugriffe von außen evt. auf bestimmte IP-Bereiche o.ä., wenn das geht, z.B. auf dynamische IPs aus dem Bereich der deutschen Provider (musst Du ein bisschen suchen, aber das kann man rauskriegen)
6. die mails von solchen mechanismen wie fail2ban, aide, rkhunter, logdigest etc etc müssen auch von jemand gelesen werden der damit etwas anzufangen weiss. 7. kann man dann nach lesen z.b. der mails von fail2ban die betreffenden länder gleich mit dem GeoIP-Modul für iptables komplett rauslassen. Bei bedarf, frag mich :) Cheers MH -- gpg key fingerprint: 5F64 4C92 9B77 DE37 D184 C5F9 B013 44E7 27BD 763C -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 17.12.2014 um 15:57 schrieb Mathias Homann:
Am Mittwoch 17 Dezember 2014, 14:58:28 schrieb Joerg Thuemmler:
Am 17.12.2014 12:00, schrieb Ralf Prengel:
Hallo, nachdem bei mir eingebrochen wurde und ich das System neu aufsetzen musste, möchte ich ein paar Sicherheiten einfügen.
Wenn jemand versucht einzubrechen, bekomme ich die IP-Adresse mitgeteilt. Wie kann ich es regeln, dass wenn diese IP-Adresse dreimal mit falschem Passwort versucht hat einzubrechen, diese IP-Adresse dann zu sperren? Es muss doch dafür in der Firewall etwas aktiviert werden. Ich habe noch nicht gefunden, wo das aktiviert wird. Ich bitte um eure Hilfe. Danke Bernd Hallo, ganz so einfach ist es nicht aber mit ein wenig Aufwand kommt man schon recht weut
Zitat von Bernhard Junk
: 1) fail2ban hilft schon mal weiter 2) Zugriffe aus dem Internet grundsätzlich verbieten bzw. nur bestimmenten Systemen erlauben, besser noch nur per VPN von aussen Zugriffe erlauben 3) Eine Firewall vorschalten die bestimmte Dienste nur an bestimmte Systeme weiterleitet. Ich empgehle da gerne Astaro/ Sopho. Ist für die privare Nutzung bis 50 IPs frei und für interessierte Poweruser auch beherrschbar. 4) Systeme die von aussen erreicbar sein sollen in eine DMZ packen. 5) Windows vermeiden wo immer es geht. 6) Systeme bottom to up aufsetzen. Minimale Installationen die Schritt für Schritt bei Bedarf erweitert werden. 7) Telnet und ftp sind böse ;-) Gruss Hi,
1. Frage ist immmer: was muss nach außen offen sein, alles andere wird durch die FW verboten. Auch die Suse-FW ist dafür ausreichend. Wenn Dein Rechner Gateway für Windows-Rechner ist, unbedingt alles zumachen, was mit Windows-Netzwerken zu tun hat 2. ssh mit fail2ban absichern 3. wenn ftp benötigt: vsftpd verwenden, dort die möglichen Einschränkungen benutzen... 4. wenn Du ssh (oder einen anderen Dienst) nicht immer anbieten musst, kannst Du auch die Zeiten noch beschränken, 90% der Angriffe aus China sind auf unseren vservern immer ab 1:30 Uhr... und das war bislang der Hauptteil der ssh-Attacken. 5. Einschränkung der Zugriffe von außen evt. auf bestimmte IP-Bereiche o.ä., wenn das geht, z.B. auf dynamische IPs aus dem Bereich der deutschen Provider (musst Du ein bisschen suchen, aber das kann man rauskriegen)
6. die mails von solchen mechanismen wie fail2ban, aide, rkhunter, logdigest etc etc müssen auch von jemand gelesen werden der damit etwas anzufangen weiss.
7. kann man dann nach lesen z.b. der mails von fail2ban die betreffenden länder gleich mit dem GeoIP-Modul für iptables komplett rauslassen. Bei bedarf, frag mich :)
Cheers MH
Hallo allerseits! Was ich dazu beitragen kann: Der bis jetzt einzige gelungene Einbruch auf meinem Rechner lief so ab dass der Bösewicht (keine Ahnung ob Mensch oder Maschine) ein login als user "nobody" gemacht hat, ein miniprogramm runtergeladen, compiliert und dann ausgeführt hat. Als user nobody konnte dieses Programm auf meinem Rechner zwar nichts anrichten, hat aber fremde Rechner von hier aus "belästigt". Seither ist dem user nobody das login abgedreht. BTW: Ärgerlich ist nur dass irgendetwas, vermutlich im Zuge von Updates, dem user nobody von Zeit zu Zeit das login wieder aufdreht. Ich frage mich wozu ?? Grüße, Norbert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 17.12.2014 18:46, schrieb Norbert Zawodsky:
Am 17.12.2014 um 15:57 schrieb Mathias Homann:
Am Mittwoch 17 Dezember 2014, 14:58:28 schrieb Joerg Thuemmler:
Am 17.12.2014 12:00, schrieb Ralf Prengel:
Hallo, nachdem bei mir eingebrochen wurde und ich das System neu aufsetzen musste, möchte ich ein paar Sicherheiten einfügen.
Wenn jemand versucht einzubrechen, bekomme ich die IP-Adresse mitgeteilt. Wie kann ich es regeln, dass wenn diese IP-Adresse dreimal mit falschem Passwort versucht hat einzubrechen, diese IP-Adresse dann zu sperren? Es muss doch dafür in der Firewall etwas aktiviert werden. Ich habe noch nicht gefunden, wo das aktiviert wird. Ich bitte um eure Hilfe. Danke Bernd Hallo, ganz so einfach ist es nicht aber mit ein wenig Aufwand kommt man schon recht weut
Zitat von Bernhard Junk
: 1) fail2ban hilft schon mal weiter 2) Zugriffe aus dem Internet grundsätzlich verbieten bzw. nur bestimmenten Systemen erlauben, besser noch nur per VPN von aussen Zugriffe erlauben 3) Eine Firewall vorschalten die bestimmte Dienste nur an bestimmte Systeme weiterleitet. Ich empgehle da gerne Astaro/ Sopho. Ist für die privare Nutzung bis 50 IPs frei und für interessierte Poweruser auch beherrschbar. 4) Systeme die von aussen erreicbar sein sollen in eine DMZ packen. 5) Windows vermeiden wo immer es geht. 6) Systeme bottom to up aufsetzen. Minimale Installationen die Schritt für Schritt bei Bedarf erweitert werden. 7) Telnet und ftp sind böse ;-) Gruss Hi,
1. Frage ist immmer: was muss nach außen offen sein, alles andere wird durch die FW verboten. Auch die Suse-FW ist dafür ausreichend. Wenn Dein Rechner Gateway für Windows-Rechner ist, unbedingt alles zumachen, was mit Windows-Netzwerken zu tun hat 2. ssh mit fail2ban absichern 3. wenn ftp benötigt: vsftpd verwenden, dort die möglichen Einschränkungen benutzen... 4. wenn Du ssh (oder einen anderen Dienst) nicht immer anbieten musst, kannst Du auch die Zeiten noch beschränken, 90% der Angriffe aus China sind auf unseren vservern immer ab 1:30 Uhr... und das war bislang der Hauptteil der ssh-Attacken. 5. Einschränkung der Zugriffe von außen evt. auf bestimmte IP-Bereiche o.ä., wenn das geht, z.B. auf dynamische IPs aus dem Bereich der deutschen Provider (musst Du ein bisschen suchen, aber das kann man rauskriegen)
6. die mails von solchen mechanismen wie fail2ban, aide, rkhunter, logdigest etc etc müssen auch von jemand gelesen werden der damit etwas anzufangen weiss.
7. kann man dann nach lesen z.b. der mails von fail2ban die betreffenden länder gleich mit dem GeoIP-Modul für iptables komplett rauslassen. Bei bedarf, frag mich :)
Cheers MH
Hallo allerseits!
Was ich dazu beitragen kann:
Der bis jetzt einzige gelungene Einbruch auf meinem Rechner lief so ab dass der Bösewicht (keine Ahnung ob Mensch oder Maschine) ein login als user "nobody" gemacht hat, ein miniprogramm runtergeladen, compiliert und dann ausgeführt hat. Als user nobody konnte dieses Programm auf meinem Rechner zwar nichts anrichten, hat aber fremde Rechner von hier aus "belästigt".
Seither ist dem user nobody das login abgedreht.
BTW: Ärgerlich ist nur dass irgendetwas, vermutlich im Zuge von Updates, dem user nobody von Zeit zu Zeit das login wieder aufdreht. Ich frage mich wozu ??
Grüße, Norbert
Hi, nobody ist bei manchen Serverprogrammen (ftp...) der rechtlose User, auf den sie für die Ausführung nach dem Start wechseln. So kann eine Kompromittierung des jeweiligen Serverprogramms weniger Schaden anrichten. Wahrscheinlich setzen manche Konfigurationen deshalb einen user "nobody" voraus. Allerdings hat bei mir (OS11.4e hier) "nobody" zwar /bin/bash als Shell, aber kein Passwort ("*") in /etc/shadow. Das sollte bedeuten, man kann sich nicht mit der Authentifizierung per Passwort als "nobody" anmelden, sondern - mal abgesehen von reinen Schlüsselverfahren ohne Passwort - nur per "su" "nobody" werden. Das sollte doch reichen und daran wird sich auch kein Update vergreifen... cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 18.12.2014 um 07:40 schrieb Joerg Thuemmler:
Am 17.12.2014 18:46, schrieb Norbert Zawodsky:
Am 17.12.2014 um 15:57 schrieb Mathias Homann:
Am Mittwoch 17 Dezember 2014, 14:58:28 schrieb Joerg Thuemmler:
Am 17.12.2014 12:00, schrieb Ralf Prengel:
Hallo, nachdem bei mir eingebrochen wurde und ich das System neu aufsetzen musste, möchte ich ein paar Sicherheiten einfügen.
Wenn jemand versucht einzubrechen, bekomme ich die IP-Adresse mitgeteilt. Wie kann ich es regeln, dass wenn diese IP-Adresse dreimal mit falschem Passwort versucht hat einzubrechen, diese IP-Adresse dann zu sperren? Es muss doch dafür in der Firewall etwas aktiviert werden. Ich habe noch nicht gefunden, wo das aktiviert wird. Ich bitte um eure Hilfe. Danke Bernd Hallo, ganz so einfach ist es nicht aber mit ein wenig Aufwand kommt man schon recht weut
Zitat von Bernhard Junk
: 1) fail2ban hilft schon mal weiter 2) Zugriffe aus dem Internet grundsätzlich verbieten bzw. nur bestimmenten Systemen erlauben, besser noch nur per VPN von aussen Zugriffe erlauben 3) Eine Firewall vorschalten die bestimmte Dienste nur an bestimmte Systeme weiterleitet. Ich empgehle da gerne Astaro/ Sopho. Ist für die privare Nutzung bis 50 IPs frei und für interessierte Poweruser auch beherrschbar. 4) Systeme die von aussen erreicbar sein sollen in eine DMZ packen. 5) Windows vermeiden wo immer es geht. 6) Systeme bottom to up aufsetzen. Minimale Installationen die Schritt für Schritt bei Bedarf erweitert werden. 7) Telnet und ftp sind böse ;-) Gruss Hi,
1. Frage ist immmer: was muss nach außen offen sein, alles andere wird durch die FW verboten. Auch die Suse-FW ist dafür ausreichend. Wenn Dein Rechner Gateway für Windows-Rechner ist, unbedingt alles zumachen, was mit Windows-Netzwerken zu tun hat 2. ssh mit fail2ban absichern 3. wenn ftp benötigt: vsftpd verwenden, dort die möglichen Einschränkungen benutzen... 4. wenn Du ssh (oder einen anderen Dienst) nicht immer anbieten musst, kannst Du auch die Zeiten noch beschränken, 90% der Angriffe aus China sind auf unseren vservern immer ab 1:30 Uhr... und das war bislang der Hauptteil der ssh-Attacken. 5. Einschränkung der Zugriffe von außen evt. auf bestimmte IP-Bereiche o.ä., wenn das geht, z.B. auf dynamische IPs aus dem Bereich der deutschen Provider (musst Du ein bisschen suchen, aber das kann man rauskriegen)
6. die mails von solchen mechanismen wie fail2ban, aide, rkhunter, logdigest etc etc müssen auch von jemand gelesen werden der damit etwas anzufangen weiss.
7. kann man dann nach lesen z.b. der mails von fail2ban die betreffenden länder gleich mit dem GeoIP-Modul für iptables komplett rauslassen. Bei bedarf, frag mich :)
Cheers MH
Hallo allerseits!
Was ich dazu beitragen kann:
Der bis jetzt einzige gelungene Einbruch auf meinem Rechner lief so ab dass der Bösewicht (keine Ahnung ob Mensch oder Maschine) ein login als user "nobody" gemacht hat, ein miniprogramm runtergeladen, compiliert und dann ausgeführt hat. Als user nobody konnte dieses Programm auf meinem Rechner zwar nichts anrichten, hat aber fremde Rechner von hier aus "belästigt".
Seither ist dem user nobody das login abgedreht.
BTW: Ärgerlich ist nur dass irgendetwas, vermutlich im Zuge von Updates, dem user nobody von Zeit zu Zeit das login wieder aufdreht. Ich frage mich wozu ??
Grüße, Norbert
Hi,
nobody ist bei manchen Serverprogrammen (ftp...) der rechtlose User, auf den sie für die Ausführung nach dem Start wechseln. So kann eine Kompromittierung des jeweiligen Serverprogramms weniger Schaden anrichten. Wahrscheinlich setzen manche Konfigurationen deshalb einen user "nobody" voraus.
Allerdings hat bei mir (OS11.4e hier) "nobody" zwar /bin/bash als Shell, aber kein Passwort ("*") in /etc/shadow. Das sollte bedeuten, man kann sich nicht mit der Authentifizierung per Passwort als "nobody" anmelden, sondern - mal abgesehen von reinen Schlüsselverfahren ohne Passwort - nur per "su" "nobody" werden. Das sollte doch reichen und daran wird sich auch kein Update vergreifen...
cu jth
Hallo, um nochmal auf den Grund des Themas zu kommen, gibt es keine Möglichkeit, einem Einbruchsversuch etwas entgegenzuwirken? Ich denke an die Möglichkeit mit whois den Administrator herauszufinden und ihm im gleichen Takt eine Mail zu schicken. Man müsste dazu ein script entwickeln welche die E-Mail Adresse des Administrator der NIC herausfindet und dann mit einem Hinweis, dass der Teilnehmer mit der IP-Adresse versucht einzubrechen. Ich kann mir vorstellen, dass dann der Inhaber der NIC sich ärgert wenn er im Zehntelsekundentakt eine Mail erhält und dann den Teilnehmer abschaltet. Leider kann ich so ein script nicht schreiben. Gruss Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 19.12.2014 14:19, schrieb Bernhard Junk:
Am 18.12.2014 um 07:40 schrieb Joerg Thuemmler:
Am 17.12.2014 18:46, schrieb Norbert Zawodsky:
Am 17.12.2014 um 15:57 schrieb Mathias Homann:
Am Mittwoch 17 Dezember 2014, 14:58:28 schrieb Joerg Thuemmler:
Am 17.12.2014 12:00, schrieb Ralf Prengel:
Zitat von Bernhard Junk
: > Hallo, > nachdem bei mir eingebrochen wurde und ich das System neu aufsetzen > musste, möchte ich ein paar Sicherheiten einfügen. > > Wenn jemand versucht einzubrechen, bekomme ich die IP-Adresse > mitgeteilt. > Wie kann ich es regeln, dass wenn diese IP-Adresse dreimal mit > falschem Passwort versucht hat einzubrechen, diese IP-Adresse > dann zu > sperren? > Es muss doch dafür in der Firewall etwas aktiviert werden. Ich habe > noch nicht gefunden, wo das aktiviert wird. > Ich bitte um eure Hilfe. > Danke Bernd Hallo, ganz so einfach ist es nicht aber mit ein wenig Aufwand kommt man schon recht weut 1) fail2ban hilft schon mal weiter 2) Zugriffe aus dem Internet grundsätzlich verbieten bzw. nur bestimmenten Systemen erlauben, besser noch nur per VPN von aussen Zugriffe erlauben 3) Eine Firewall vorschalten die bestimmte Dienste nur an bestimmte Systeme weiterleitet. Ich empgehle da gerne Astaro/ Sopho. Ist für die privare Nutzung bis 50 IPs frei und für interessierte Poweruser auch beherrschbar. 4) Systeme die von aussen erreicbar sein sollen in eine DMZ packen. 5) Windows vermeiden wo immer es geht. 6) Systeme bottom to up aufsetzen. Minimale Installationen die Schritt für Schritt bei Bedarf erweitert werden. 7) Telnet und ftp sind böse ;-) Gruss Hi,
1. Frage ist immmer: was muss nach außen offen sein, alles andere wird durch die FW verboten. Auch die Suse-FW ist dafür ausreichend. Wenn Dein Rechner Gateway für Windows-Rechner ist, unbedingt alles zumachen, was mit Windows-Netzwerken zu tun hat 2. ssh mit fail2ban absichern 3. wenn ftp benötigt: vsftpd verwenden, dort die möglichen Einschränkungen benutzen... 4. wenn Du ssh (oder einen anderen Dienst) nicht immer anbieten musst, kannst Du auch die Zeiten noch beschränken, 90% der Angriffe aus China sind auf unseren vservern immer ab 1:30 Uhr... und das war bislang der Hauptteil der ssh-Attacken. 5. Einschränkung der Zugriffe von außen evt. auf bestimmte IP-Bereiche o.ä., wenn das geht, z.B. auf dynamische IPs aus dem Bereich der deutschen Provider (musst Du ein bisschen suchen, aber das kann man rauskriegen)
6. die mails von solchen mechanismen wie fail2ban, aide, rkhunter, logdigest etc etc müssen auch von jemand gelesen werden der damit etwas anzufangen weiss.
7. kann man dann nach lesen z.b. der mails von fail2ban die betreffenden länder gleich mit dem GeoIP-Modul für iptables komplett rauslassen. Bei bedarf, frag mich :)
Cheers MH
Hallo allerseits!
Was ich dazu beitragen kann:
Der bis jetzt einzige gelungene Einbruch auf meinem Rechner lief so ab dass der Bösewicht (keine Ahnung ob Mensch oder Maschine) ein login als user "nobody" gemacht hat, ein miniprogramm runtergeladen, compiliert und dann ausgeführt hat. Als user nobody konnte dieses Programm auf meinem Rechner zwar nichts anrichten, hat aber fremde Rechner von hier aus "belästigt".
Seither ist dem user nobody das login abgedreht.
BTW: Ärgerlich ist nur dass irgendetwas, vermutlich im Zuge von Updates, dem user nobody von Zeit zu Zeit das login wieder aufdreht. Ich frage mich wozu ??
Grüße, Norbert
Hi,
nobody ist bei manchen Serverprogrammen (ftp...) der rechtlose User, auf den sie für die Ausführung nach dem Start wechseln. So kann eine Kompromittierung des jeweiligen Serverprogramms weniger Schaden anrichten. Wahrscheinlich setzen manche Konfigurationen deshalb einen user "nobody" voraus.
Allerdings hat bei mir (OS11.4e hier) "nobody" zwar /bin/bash als Shell, aber kein Passwort ("*") in /etc/shadow. Das sollte bedeuten, man kann sich nicht mit der Authentifizierung per Passwort als "nobody" anmelden, sondern - mal abgesehen von reinen Schlüsselverfahren ohne Passwort - nur per "su" "nobody" werden. Das sollte doch reichen und daran wird sich auch kein Update vergreifen...
cu jth
Hallo, um nochmal auf den Grund des Themas zu kommen, gibt es keine Möglichkeit, einem Einbruchsversuch etwas entgegenzuwirken? Ich denke an die Möglichkeit mit whois den Administrator herauszufinden und ihm im gleichen Takt eine Mail zu schicken. Man müsste dazu ein script entwickeln welche die E-Mail Adresse des Administrator der NIC herausfindet und dann mit einem Hinweis, dass der Teilnehmer mit der IP-Adresse versucht einzubrechen. Ich kann mir vorstellen, dass dann der Inhaber der NIC sich ärgert wenn er im Zehntelsekundentakt eine Mail erhält und dann den Teilnehmer abschaltet. Leider kann ich so ein script nicht schreiben. Gruss Bernd
Hi, hast Du nun fail2ban laufen? Die Idee mit dem Script ist schlicht Schwachsinn... das mindeste, was da für Dich rausschaut, ist dass Du als Spammer geblockt wirst, vielleicht bist es auch Du, den man dann "abschaltet"... vergiss das... -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 19.12.2014 um 14:08 schrieb Joerg Thuemmler:
Am 19.12.2014 14:19, schrieb Bernhard Junk:
Am 18.12.2014 um 07:40 schrieb Joerg Thuemmler:
Am 17.12.2014 18:46, schrieb Norbert Zawodsky:
Am 17.12.2014 um 15:57 schrieb Mathias Homann:
Am Mittwoch 17 Dezember 2014, 14:58:28 schrieb Joerg Thuemmler:
Am 17.12.2014 12:00, schrieb Ralf Prengel: > Zitat von Bernhard Junk
: >> Hallo, >> nachdem bei mir eingebrochen wurde und ich das System neu >> aufsetzen >> musste, möchte ich ein paar Sicherheiten einfügen. >> >> Wenn jemand versucht einzubrechen, bekomme ich die IP-Adresse >> mitgeteilt. >> Wie kann ich es regeln, dass wenn diese IP-Adresse dreimal mit >> falschem Passwort versucht hat einzubrechen, diese IP-Adresse >> dann zu >> sperren? >> Es muss doch dafür in der Firewall etwas aktiviert werden. Ich >> habe >> noch nicht gefunden, wo das aktiviert wird. >> Ich bitte um eure Hilfe. >> Danke Bernd > Hallo, > ganz so einfach ist es nicht aber mit ein wenig Aufwand kommt man > schon > recht weut > 1) > fail2ban hilft schon mal weiter > 2) > Zugriffe aus dem Internet grundsätzlich verbieten bzw. nur > bestimmenten > Systemen erlauben, besser noch nur per VPN von aussen Zugriffe > erlauben > 3) > Eine Firewall vorschalten die bestimmte Dienste nur an bestimmte > Systeme > weiterleitet. > Ich empgehle da gerne Astaro/ Sopho. Ist für die privare Nutzung > bis 50 > IPs frei und für interessierte Poweruser auch beherrschbar. > 4) > Systeme die von aussen erreicbar sein sollen in eine DMZ packen. > 5) > Windows vermeiden wo immer es geht. > 6) > Systeme bottom to up aufsetzen. Minimale Installationen die > Schritt für > Schritt bei Bedarf erweitert werden. > 7) > Telnet und ftp sind böse ;-) > > Gruss Hi, 1. Frage ist immmer: was muss nach außen offen sein, alles andere wird durch die FW verboten. Auch die Suse-FW ist dafür ausreichend. Wenn Dein Rechner Gateway für Windows-Rechner ist, unbedingt alles zumachen, was mit Windows-Netzwerken zu tun hat 2. ssh mit fail2ban absichern 3. wenn ftp benötigt: vsftpd verwenden, dort die möglichen Einschränkungen benutzen... 4. wenn Du ssh (oder einen anderen Dienst) nicht immer anbieten musst, kannst Du auch die Zeiten noch beschränken, 90% der Angriffe aus China sind auf unseren vservern immer ab 1:30 Uhr... und das war bislang der Hauptteil der ssh-Attacken. 5. Einschränkung der Zugriffe von außen evt. auf bestimmte IP-Bereiche o.ä., wenn das geht, z.B. auf dynamische IPs aus dem Bereich der deutschen Provider (musst Du ein bisschen suchen, aber das kann man rauskriegen)
6. die mails von solchen mechanismen wie fail2ban, aide, rkhunter, logdigest etc etc müssen auch von jemand gelesen werden der damit etwas anzufangen weiss.
7. kann man dann nach lesen z.b. der mails von fail2ban die betreffenden länder gleich mit dem GeoIP-Modul für iptables komplett rauslassen. Bei bedarf, frag mich :)
Cheers MH
Hallo allerseits!
Was ich dazu beitragen kann:
Der bis jetzt einzige gelungene Einbruch auf meinem Rechner lief so ab dass der Bösewicht (keine Ahnung ob Mensch oder Maschine) ein login als user "nobody" gemacht hat, ein miniprogramm runtergeladen, compiliert und dann ausgeführt hat. Als user nobody konnte dieses Programm auf meinem Rechner zwar nichts anrichten, hat aber fremde Rechner von hier aus "belästigt".
Seither ist dem user nobody das login abgedreht.
BTW: Ärgerlich ist nur dass irgendetwas, vermutlich im Zuge von Updates, dem user nobody von Zeit zu Zeit das login wieder aufdreht. Ich frage mich wozu ??
Grüße, Norbert
Hi,
nobody ist bei manchen Serverprogrammen (ftp...) der rechtlose User, auf den sie für die Ausführung nach dem Start wechseln. So kann eine Kompromittierung des jeweiligen Serverprogramms weniger Schaden anrichten. Wahrscheinlich setzen manche Konfigurationen deshalb einen user "nobody" voraus.
Allerdings hat bei mir (OS11.4e hier) "nobody" zwar /bin/bash als Shell, aber kein Passwort ("*") in /etc/shadow. Das sollte bedeuten, man kann sich nicht mit der Authentifizierung per Passwort als "nobody" anmelden, sondern - mal abgesehen von reinen Schlüsselverfahren ohne Passwort - nur per "su" "nobody" werden. Das sollte doch reichen und daran wird sich auch kein Update vergreifen...
cu jth
Hallo, um nochmal auf den Grund des Themas zu kommen, gibt es keine Möglichkeit, einem Einbruchsversuch etwas entgegenzuwirken? Ich denke an die Möglichkeit mit whois den Administrator herauszufinden und ihm im gleichen Takt eine Mail zu schicken. Man müsste dazu ein script entwickeln welche die E-Mail Adresse des Administrator der NIC herausfindet und dann mit einem Hinweis, dass der Teilnehmer mit der IP-Adresse versucht einzubrechen. Ich kann mir vorstellen, dass dann der Inhaber der NIC sich ärgert wenn er im Zehntelsekundentakt eine Mail erhält und dann den Teilnehmer abschaltet. Leider kann ich so ein script nicht schreiben. Gruss Bernd
Hi,
hast Du nun fail2ban laufen?
Die Idee mit dem Script ist schlicht Schwachsinn...
das mindeste, was da für Dich rausschaut, ist dass Du als Spammer geblockt wirst, vielleicht bist es auch Du, den man dann "abschaltet"... vergiss das...
Hallo Joerg, ja, da habe ich nicht drüber nachgedacht. Warum kann man dann den Angreifer nicht als Spammer definieren? Fail2ban habe ich installiert und mit webmin angepasst. Ich muss mich aber nochmal mit den Parametern auseinander setzen. Jetzt habe ich mich so geschlossen, dass ich nur noch Vorort an den Server komme. Ich muss mir noch einen Zugang schaffen. Gruss Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
... [mal gekürzt...]
Hi,
hast Du nun fail2ban laufen?
Die Idee mit dem Script ist schlicht Schwachsinn...
das mindeste, was da für Dich rausschaut, ist dass Du als Spammer geblockt wirst, vielleicht bist es auch Du, den man dann "abschaltet"... vergiss das...
Hallo Joerg,
ja, da habe ich nicht drüber nachgedacht. Warum kann man dann den ... Angreifer nicht als Spammer definieren?
Gruss Bernd
Hi, natürlich kannst Du einen Angreifer als Angreifer definieren (als "Spammer" ist schon mal Quatsch, weil er hat ja nicht gespammt, sondern sich bei Dir anmelden wollen). ABER: mit whois bekommst Du im Allgemeinen nur den Inhaber des IP-Bereiches. Wenn die IP aus dem Bereich t-online kommt, z.B., dann ist das alles, was Du erfährst... Du wirst ja nicht t-online als Angreifer definieren (und der dort angegebenen Mailadresse alle Sekunden eine Mail schicken) wollen... damit kriegst Du definitiv Ärger. Generell ist es auch fraglich, ob jemand, der versucht, sich an einem von Dir - ja immerhin öffentlich angebotenen - ssh-Zugang anzumelden, etwas Unzulässiges tut. Illegal wird es ja erst dann, wenn er das tut, um Schaden anzurichten. Mach ein paar von den Dingen, die hier vorgeschlagen werden und gut ist. Gerade das mit der Portverlagerung ist trivial und wirksam, eine kleine Änderung in der sshd-Konfig und in der Firewall, das wars. cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Wed, 17 Dec 2014 11:52:19 +0100 schrieb Bernhard Junk
Wenn jemand versucht einzubrechen, bekomme ich die IP-Adresse mitgeteilt. Wie kann ich es regeln, dass wenn diese IP-Adresse dreimal mit falschem Passwort versucht hat einzubrechen, diese IP-Adresse dann zu sperren? Es muss doch dafür in der Firewall etwas aktiviert werden. Ich habe noch nicht gefunden, wo das aktiviert wird.
Reden wir von Shell-Zugang, also z.B. ssh? Ich habe dort nach Möglichkeit eine Kombination aus Sperrung von Passwort-Authentifizierung (bzw. Reduzierung auf public-key-authentication) für sshd, Deaktivierung von root-logins für sshd und dem Paket denyhosts eingerichtet. Letzteres sorgt dafür, dass automatisch einzelne IP-Adressen gesperrt werden - und je nach Konfiguration nach einiger Zeit wieder freigegeben werden. Also vermutlich, das was Du oben beschreibst. Meines Wissens werden danach allerdings alle tcp-Verbindungen von dieser source-IP gesperrt - müsste ich nochmal recherchieren. Die erstgenannte Methode verhindert Passwort-Attacken. Der Angreifer müsste erst mal einen Private-Key erschleichen. Die zweite Methode sorgt dafür, dass jemand erstmal einen normalen Shell-Account knacken muss, um dann in einem zweiten Schritt das root-Passwort zu ermitteln. Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 17.12.2014 um 21:46 schrieb Tobias Crefeld:
Am Wed, 17 Dec 2014 11:52:19 +0100 schrieb Bernhard Junk
: Wenn jemand versucht einzubrechen, bekomme ich die IP-Adresse mitgeteilt. Wie kann ich es regeln, dass wenn diese IP-Adresse dreimal mit falschem Passwort versucht hat einzubrechen, diese IP-Adresse dann zu sperren? Es muss doch dafür in der Firewall etwas aktiviert werden. Ich habe noch nicht gefunden, wo das aktiviert wird.
Reden wir von Shell-Zugang, also z.B. ssh?
Ich habe dort nach Möglichkeit eine Kombination aus Sperrung von Passwort-Authentifizierung (bzw. Reduzierung auf public-key-authentication) für sshd, Deaktivierung von root-logins für sshd und dem Paket denyhosts eingerichtet.
Letzteres sorgt dafür, dass automatisch einzelne IP-Adressen gesperrt werden - und je nach Konfiguration nach einiger Zeit wieder freigegeben werden. Also vermutlich, das was Du oben beschreibst. Meines Wissens werden danach allerdings alle tcp-Verbindungen von dieser source-IP gesperrt - müsste ich nochmal recherchieren.
Die erstgenannte Methode verhindert Passwort-Attacken. Der Angreifer müsste erst mal einen Private-Key erschleichen.
Die zweite Methode sorgt dafür, dass jemand erstmal einen normalen Shell-Account knacken muss, um dann in einem zweiten Schritt das root-Passwort zu ermitteln.
Gruß, Tobias.
Ich hatte früher auch ohne Ende einlog-Versuche auf SSH (der einzige Dienst, der von außen erreichbar ist). Neben der public-key-Authentifizierung lasse ich ssh auf einem willkürlich festgelegten Port hören, also nicht auf Port 22. Seitdem habe ich keine (geloggten) Attacken mehr. Das schreckt natürlich einen ernsthaften Angreifer nicht ab, aber bei einem Portscanning auf üblichen Ports wird mein Rechner dann nicht gefunden und angegriffen. Grüße, Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On 18 Dec 2014, at 09:04 , Christian Pelz
Ich hatte früher auch ohne Ende einlog-Versuche auf SSH (der einzige Dienst, der von außen erreichbar ist). Neben der public-key-Authentifizierung lasse ich ssh auf einem willkürlich festgelegten Port hören, also nicht auf Port 22. Seitdem habe ich keine (geloggten) Attacken mehr. Das schreckt natürlich einen ernsthaften Angreifer nicht ab, aber bei einem Portscanning auf üblichen Ports wird mein Rechner dann nicht gefunden und angegriffen.
Hatte ich auch. Wurde in diesem Thread schon failtoban empfohlen?! Es gibt auch so was wie Port-Knocking, aber failtoban tut’s auch. Nicht die 22 zu nutzen ist in jedem Fall eine gute Idee. Eine Menge Log-Noise verschwindet dann sofort.-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Wed, Dec 17, 2014 at 11:52:19AM +0100, Bernhard Junk wrote:
nachdem bei mir eingebrochen wurde und ich das System neu aufsetzen musste, möchte ich ein paar Sicherheiten einfügen.
Wenn jemand versucht einzubrechen, bekomme ich die IP-Adresse mitgeteilt. Wie kann ich es regeln, dass wenn diese IP-Adresse dreimal mit falschem Passwort versucht hat einzubrechen, diese IP-Adresse dann zu sperren? Es muss doch dafür in der Firewall etwas aktiviert werden. Ich habe noch nicht gefunden, wo das aktiviert wird.
Es hat sich bei mir bewährt, den Port für ssh auf irgendwo über 40000 zu legen. Die Login-Versuche gingen 0 zurück. fail2ban war dann schon ziemlich arbeitslos. Wenn es eine private Kiste ist, könntest mit iptables auch noch den ip-range deutlich einschränken, von dem aus zugegriffen werden darf. Fail2ban kann übrigens auch schon zuschlagen, wenn mehrfach der Login abgebrochen wird und einiges mehr. :) flo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (9)
-
Bernhard Junk
-
Christian Pelz
-
Florian Groß
-
Joerg Thuemmler
-
Marko Käning
-
Mathias Homann
-
Norbert Zawodsky
-
Ralf Prengel
-
Tobias Crefeld