On Thu, 26 Feb 2009 09:19:33 +0100, Jan Handwerker <techuser.handwerker@imk.fzk.de> wrote:
Liebe Leute,
für mehrere Rechner, die aus dem Internet per ssh zu erreichen sind, fühle ich mich verantwortlich. Seit Ewigkeiten beobachte ich dabei, dass es regelmäßige Angriffe von außen gibt, die versuchen in die Rechner einzubrechen. In der /var/log/messages findet man dann hunderte Einträge, wo jemand von einer festen ip aus mit einer Usernamen/Passwort-Liste versucht, sich anzumelden. Meistens sind die ip-Adressen nicht einmal aufzulösen.
Soweit ich weiß, ist noch niemand bei uns eingedrungen. (Meine Hand würde ich dafür aber auch nicht ins Feuer legen.) Trotzdem wüsste ich gerne, was man tun kann, es diesen Leuten etwas schwerer zu machen. Zu meinen Ideen gehört, dass ssh Anfragen von hosts, die in den letzten x Minuten mehr als y Zugriffe erfolglos hatten, für z Minuten gar nicht erst beantwortet.
Frage: Kann ssh so etwas und ich muss es nur in der sshd_config richtig eintragen? Oder kann ich so etwas mit der SuSE-Firewall oder direkt mit iptables realisieren?
Wir haben das Problem auf unserem Server auch gehabt. Im Grunde ist das nur ganz normales "Rauschen", oft erzeugt von irgendwelchen Zombie-Maschinen, die nach neuen Opfern suchen. Als Erstes würde ich den Root-Login unterbinden. Login also nur noch mit einem eingeschränkten Benutzerkonto. Gleichzeitig könntest du in Betracht ziehen, den Login mit Passwort abzuschalten und das Einloggen nur noch mit Key zuzulassen, vgl. etwa hier: http://www.infosecprojects.net/linuxtutorials/ssh-public-key.html Ich habe es nach einer anderen Anleitung gemacht, die ich jetzt nicht wiederfinde, aber diese scheint auf den ersten Blick auch ok zu sein. Der Key ist 1024 oder 2048 Bytes lang, während dein Passwort nur acht oder zehn Zeichen hat. Wichtig: Du könntest dich selbst aussperren, wenn etwas nicht klappt. Lasse also eine ssh-Verbindung offen und probiere den Login mit einer zweiten Verbindung. So kannst du mit der existierenden Verbindung den Fehler beheben. Das Verlegen des Ports ist nur Kosmetik. Wer ernsthaft einbrechen will, scannt alle Ports und findet natürlich auch den verlegten SSH-Zugang. Das Verlegen des Ports dient nicht der Sicherheit, hilft allerdings ein wenig dabei, die Logfiles sauber zu halten, weil die automatischen Skripte meist nur den Standardport probieren. Diese Zugriffsversuche erscheinen dann gar nicht mehr im Log. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org