Hi Denis, Am Mittwoch, 5. Mai 2004 15:46 schrieb Denis Hessberger (WYSIWYG Support):
Hi,
wir haben bei uns einen Linux FTP server laufen. Mir fiel vor ca. 1 Woche schon auf das sich irgendjemand, offensichtlich aus Frankreich (habe mit tracert unter windoof feststellen können das der log-in "Versuch" von einem Server eines Französischen Providers kam, allerdings bedeutet das an sich ja noch nicht so viel), versucht bei uns am FTP-Server einzuloggen. Er hat "lustige" Benutzernamen wie "leech, download, upload, guest, visitor" usw. probiert, dann schließlich "root" und "admin"...
Kein Log-In Versuch erfolgreich. Glücklicherweise.
Das ganze kommt mir ziemlich bekannt vor. Als ich noch einen privaten FTP laufen hatte, habe ich auch ständig Angriffe aus Frankreich verzeichnen können. Da es aber schon etwas her ist müsste ich jetzt nach den Logs suchen... Mittlerweile habe ich auf FTP verzichtet.
Mein "Freund" hat das auch per SSH probiert, allerdings ohne erfolg.
*g* Das hat mein Freund damals nicht gemacht.
Ich habe die Log-In Shell des Servers bei jedem user, der nur FTP können soll auf "/bin/false" gesetzt.
Das ist auch sinnvoll. Zudem solltest du den FTP soweit wie möglich absichern. Das steht ja schon in anderen Mails (DMZ / Jail / Honeypott usw.)
Es gibt jetzt nur noch "system-user" die sich über /bin/bash anmelden können.
Ich habe nie etwas an den Accounts von Systemusern verändert. Das war mir zu heikel. Aber was interessieren dich die Systemuser? Beschränke den Login doch auf bestimmte User.
Ich muss mich leider als root immernoch per SSH anmelden können. Dies wäre nämlich der erste Zugang den ich dicht machen würde ;)
Nun ich habe auch via SSH Root-Zugriff auf meine Rechner. Denn ich sehe den Umweg über Userlogin und su als nicht sicherer an, wenn auch grafische Ausgaben getunnelt werden sollen. Was du aber machen kannst, ist den Login (für Root oder alle) auf einen IP-Bereich zu begrenzen. Zudem den Keyboard-interactiv Zugang soweit wie möglich beschränken.
Meine Fragen nun: 1. Sollte ich mir ernsthafte Gedanken machen?
Gedanken um die Sicherheit sollte man sich immer machen.
2. Wie kann ich das System sicherer machen (kann ich die shell _aller_ user bis auf root in /bin/false setzen, ohne das dies zu beeinträchtigungen am system führt?
s.o.
3. Hat jemand hier ähnliche Probleme (eventuell auch frankreich?)
Jup. :-) Überleg mal ob du tatsächlich einen FTP brauchst. Oder ob du deinen Kunden nicht WinSCP vorsetzen kannst...
Grüße,
Denis Hessberger
Viele Grüße Andreas -- "Das Telefon hat zu viele ernsthaft zu bedenkende Mängel für ein Kommunikationsmittel. Das Gerät ist von Natur aus von keinem Wert für uns." (Western Union, Interne Mitteilung, 1876)