Hallo Jörg, hallo Leute, Am Freitag, 15. Juli 2005 00:52 schrieb Jörg Hermsdorf:
ich hänge mit T-DSL rund um die Uhr am Internet und habe einen Eintrag bei dyndns.org. In letzter Zeit sehe ich des öfteren Brute-Force-Wörterbuch Attacken auf meinen SSH-Server. In /var/log/messages sieht das folgendermaßen aus: ... Jul 14 21:48:12 spacehawk sshd[10630]: Invalid user adm from ::ffff:212.58.192.29 [...] 1. "from ::ffff:212.58.192.29" Das ist doch eine IPv6-Adresse, oder? Oder wofür steht das ::ffff: ?
Ich lese das immer als "die ffffolgende IPv4-Adresse:" ;-) Spaß beiseite: im Prinzip ist das Ganze eine IPv4-Adresse, nur mit etwas IPv6-Soße drauf.
2. Gibt's mit SUSE 9.3 irgendwelche Standardtools mit denen solche offensichtlichen Attacken blockiert werden können?
Es wurden ja schon ein paar Dinge vorgeschlagen. Ergänzend dazu der Hinweis, dass es auf suse-security auch eine Diskussion diesbezüglich gab: Subject: [suse-security] SSH attacks. (und zugehörige Antworten) Datum: Anfang Februar 2005
3. Irgendwelche Vorschläge bzw. Maßnahmen die ihr mir empfehlen könnt?
Ich erlaube auf dem von mir betreuten Server den SSH-Login nur mit SSH-Keys - und ich halte es für unwahrscheinlich, dass ein Angreifer den 1024bit-Key knackt. Siehe dazu: 9.7. Wie kann ich den Login ausschließlich mit SSH-Keys erlauben? http://suse-linux-faq.koehntopp.de/q/q-ssh-keyonly.html Root-Logins verbieten ist auch eine gute Idee - wegen des Backups kann ich mir das aber leider nicht erlauben. Immerhin habe ich den SSH-Key mit command="rsync ....." in der Verwendung eingeschränkt. Gegen die üblichen SSH-Attacken sollte es auch helfen, den sshd auf einem anderen Port (z. B. 2222) laufen zu lassen - die Scriptkiddies probieren meistens nur Port 22 ;-) Gegen ernsthafte, gezielte Angriffe hilft das allerdings wenig. Gruß Christian Boltz -- I want to point out that this list is "suse-security", not "spam-me- silly". Now, please explain how the fact that some program made for some linux distribution also works on some other linux distribution is related to anything security. You have 15 minutes. Do not write more than 300 words. [Mathias Homann in suse-security]