Mailinglist Archive: opensuse-de (2713 mails)

< Previous Next >
Re: Intrusion Detection & Prevention
  • From: Christian Boltz <suse@xxxxxxxxx>
  • Date: Thu, 28 Jul 2005 17:02:16 +0200
  • Message-id: <200507281702.17365@xxxxxxxxxxxxxxx>
Hallo Jörg, hallo Leute,

Am Freitag, 15. Juli 2005 00:52 schrieb Jörg Hermsdorf:
> ich hänge mit T-DSL rund um die Uhr am Internet und habe einen
> Eintrag bei dyndns.org. In letzter Zeit sehe ich des öfteren
> Brute-Force-Wörterbuch Attacken auf meinen SSH-Server. In
> /var/log/messages sieht das folgendermaßen aus:
> ...
> Jul 14 21:48:12 spacehawk sshd[10630]: Invalid user adm
> from ::ffff:212.58.192.29
[...]
> 1. "from ::ffff:212.58.192.29"
> Das ist doch eine IPv6-Adresse, oder? Oder wofür steht das ::ffff: ?

Ich lese das immer als "die ffffolgende IPv4-Adresse:" ;-)
Spaß beiseite: im Prinzip ist das Ganze eine IPv4-Adresse, nur mit etwas
IPv6-Soße drauf.

> 2. Gibt's mit SUSE 9.3 irgendwelche Standardtools mit denen solche
> offensichtlichen Attacken blockiert werden können?

Es wurden ja schon ein paar Dinge vorgeschlagen. Ergänzend dazu der
Hinweis, dass es auf suse-security auch eine Diskussion diesbezüglich
gab:

Subject: [suse-security] SSH attacks. (und zugehörige Antworten)
Datum: Anfang Februar 2005

> 3. Irgendwelche Vorschläge bzw. Maßnahmen die ihr mir empfehlen
> könnt?

Ich erlaube auf dem von mir betreuten Server den SSH-Login nur mit
SSH-Keys - und ich halte es für unwahrscheinlich, dass ein Angreifer
den 1024bit-Key knackt.

Siehe dazu:
9.7. Wie kann ich den Login ausschließlich mit SSH-Keys erlauben?
http://suse-linux-faq.koehntopp.de/q/q-ssh-keyonly.html

Root-Logins verbieten ist auch eine gute Idee - wegen des Backups kann
ich mir das aber leider nicht erlauben. Immerhin habe ich den SSH-Key
mit command="rsync ....." in der Verwendung eingeschränkt.

Gegen die üblichen SSH-Attacken sollte es auch helfen, den sshd auf
einem anderen Port (z. B. 2222) laufen zu lassen - die Scriptkiddies
probieren meistens nur Port 22 ;-) Gegen ernsthafte, gezielte Angriffe
hilft das allerdings wenig.


Gruß

Christian Boltz
--
I want to point out that this list is "suse-security", not "spam-me-
silly". Now, please explain how the fact that some program made for
some linux distribution also works on some other linux distribution
is related to anything security. You have 15 minutes. Do not write
more than 300 words. [Mathias Homann in suse-security]

< Previous Next >
References