Hallo zusammen, On Mittwoch 28 Oktober 2009, Markus Heinze wrote:
Nunja, hier ein kleiner Tipp
1.) Anmelden nur mit Public Key's erzwingen
Das ist nicht immer praktikabel. Ich betreue Server, auf die ich auch DAUs per ssh zugreifen lassen muss. Wenn ich den allen erklären müsste, wie sie per key ssh benutzen, müsste ich die Wartungskosten verdoppeln. ;)
2.) PAM Auth deaktivieren
Warum das? Auf jeden Fall pam_abl konfigurieren und benutzen. Wies eigentlich immer fail2ban? Die pam-Module sind alle da. Man muss sie nur installieren und nutzen. Das ist wirklich denkbar einfach.
3.) root login deaktiviern !!
Der ist afaik von vornherein deaktiviert. Alles andere ist Wahnsinn. Das gilt natürlich nicht für gemietete Server. Da kriegt man meist erstmal nur das root-Passwort. Dann ist das erste, was man tut, den Zugang für root zu sperren. Nein, das zweite. Erst muss ein anderer user eingerichtet werden. Und eine Konsole immer schön offen halten, falls was schief geht. ;)
4.) SSHD auf einen andern Port legen, das knockt schon die meisten dummies aus
Bringt nicht wirklich was außer Ärger mit den usern. Jedes Mal, wenn die einen neuen SSH-Client installiert haben, muss man denen erklären, dass sie einen anderen Port einstellen müssen. Der kann ruhig so bleiben, wie er ist.
5.) ggf. denyhosts einführen, dann wird der Angreifer nach x fehlversuchen gesperrt für Zeit x, aber vorsicht das kann einen auch selbst treffen (bei zu vielen fehlerhaften logins) !!
Auf jeden Fall IPs und auch user nach zu vielen Fehlversuchen für eine Stunde (oder bei noch mehr Versuchen) auch mal so für einen Tag aussperren. Das hilft ungemein. Vor dieser Maßnahme konnte ich meine Wände mit den Logeinträgen täglich neu tapezieren. Nach einer Weile spricht sich das rum und siehe da, heute hatte ich genau 0 Einträge, die auf einen Brute-Force-Angriff hinweisen würden. Endlich kann man /var/log/messages wieder lesen und findet die relevanten Dinge gleich. ;) Und noch ein letztes. Um das Risiko möglichst gering zu halten, kann man auch bei Usern, die sowieso nicht ssh nutzen sollen, in /etc/passwd die Standardshell auf /bin/false einstellen. hth Liebe Grüße Erik -- "Du atmest einfach aus und läßt den Rauch ziehen, und schon verbreitet sich eine friedliche Stille." Carlos Fuente jun. Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148 http://www.zigarren-rollen.de http://www.roderwald.de http://blogs.roderwald.de http://forum.roderwald.de http://twitter.com/erikrode -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org