Mein Server sperrt mich aus
Ich melde mich per Keys an, d.h. PW kann nicht falsch sein und von Zeit zu Zeit kommt die Meldung, wenn ich per fish im Konqueror in ein anderes Verzeichnis wechsle, dass keine Verbindung möglich war und irgendwann bin ich geblockt. Ich vermute, dass dies mit den gleichzeitigen Verbindungsversuchen von Hackern zu tun hat. was fällt an dieser Konfiguration auf? /etc/ssh/sshd_config Protocol 2 LogLevel INFO LoginGraceTime 15 MaxAuthTries 1 PubkeyAuthentication yes PasswordAuthentication no ChallengeResponseAuthentication no KerberosAuthentication no UsePAM no X11Forwarding no ClientAliveCountMax 2 MaxStartups 5:80:6 Subsystem sftp /usr/lib/ssh/sftp-server AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL /etc/denyhosts.conf SECURE_LOG = /var/log/messages HOSTS_DENY = /etc/hosts.deny PURGE_DENY = 3d PURGE_THRESHOLD = 0 BLOCK_SERVICE = ALL DENY_THRESHOLD_INVALID = 1 DENY_THRESHOLD_VALID = 3 DENY_THRESHOLD_ROOT = 1 DENY_THRESHOLD_RESTRICTED = 1 WORK_DIR = /var/lib/denyhosts SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES HOSTNAME_LOOKUP=YES LOCK_FILE = /var/run/denyhosts.pid ADMIN_EMAIL = root@localhost SMTP_HOST = localhost SMTP_PORT = 25 SMTP_FROM = DenyHosts <nobody@localhost> SMTP_SUBJECT = DenyHosts Report SYSLOG_REPORT=NO ALLOWED_HOSTS_HOSTNAME_LOOKUP=YES AGE_RESET_VALID=5d AGE_RESET_ROOT=25d AGE_RESET_RESTRICTED=25d AGE_RESET_INVALID=10d DAEMON_LOG = /var/log/denyhosts DAEMON_LOG_TIME_FORMAT = %b %d %H:%M:%S DAEMON_LOG_MESSAGE_FORMAT = %(asctime)s - %(name)-12s: %(levelname)-8s %(message)s DAEMON_SLEEP = 5s DAEMON_PURGE = 1h Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, On Donnerstag 12 November 2009, Al Bogner wrote:
Ich melde mich per Keys an, d.h. PW kann nicht falsch sein und
Key ohne PW? Nicht gut. So ein Key kann auch mal gestohlen werden.
was fällt an dieser Konfiguration auf?
MaxAuthTries 1
Das ist aber hart. Nur ein Versuch? Naja, ohne PW.
/etc/denyhosts.conf PURGE_DENY = 3d
Das ist aber arg lang. Drei Tage? Warum? Um die Cracker rauszuhalten, reicht eine Stunde.
ADMIN_EMAIL = root@localhost
Wenn da eine Email-Adresse stehen würde, an die Du ohne Serverzugriff rankämest, dann wüsstest Du wenigstens, was los ist. Oder wird die vom Server weitergleitet? Wenn ja, was steht denn drin? So als allgemeiner Tipp: Wenn ich Server dichtklopfe, so dass nach zu vielen Fehlanmeldungen der user gesperrt wird, richte ich immer auch einen zweiten user mit sehr langem und zufällig gewähltem Namen ein. Dann kann ich mich in dem Fall, das mein eigener user gesperrt wurde, wenigstens noch einloggen und nachschauen bzw. meinen user wieder zurücksetzen. In Deinem Fall: Drei Tage warten. ;) Liebe Grüße Erik -- "Der Genuß einer guten Cigarre läßt uns an Zeiten zurückerinnern, die es gar nicht gegeben hat." Oscar Wilde Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148 http://www.zigarren-rollen.de http://www.roderwald.de http://blogs.roderwald.de http://forum.roderwald.de http://twitter.com/erikrode -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Freitag, 13. November 2009 09:07:46 schrieb Erik P. Roderwald: Hallo Erik,
On Donnerstag 12 November 2009, Al Bogner wrote:
Ich melde mich per Keys an, d.h. PW kann nicht falsch sein und
Key ohne PW? Nicht gut. So ein Key kann auch mal gestohlen werden.
Ja ok, aber das erachte ich als extrem gering. Sonst kann ich mich nicht von meinem lokalen Skript verbinden.
was fällt an dieser Konfiguration auf?
MaxAuthTries 1
Das ist aber hart. Nur ein Versuch? Naja, ohne PW.
Eben und auch LoginGraceTime 15
/etc/denyhosts.conf PURGE_DENY = 3d
Das ist aber arg lang. Drei Tage? Warum? Um die Cracker rauszuhalten, reicht eine Stunde.
Ich hatte einen, der kam täglich wieder und setzte dort im Alphabet fort, wo er am Vortag gesperrt wurde. PURGE_THRESHOLD = 0 Das will ich (noch) nicht anwenden.
ADMIN_EMAIL = root@localhost
Wenn da eine Email-Adresse stehen würde, an die Du ohne Serverzugriff rankämest, dann wüsstest Du wenigstens, was los ist. Oder wird die vom Server weitergleitet? Wenn ja, was steht denn drin?
Ich verwende den Mailserver zur Zeit nur lokal um den Port nicht offen zu haben. In den denyhosts-Mails steht sowieso kaum was interessantes drinnen.
So als allgemeiner Tipp: Wenn ich Server dichtklopfe, so dass nach zu vielen Fehlanmeldungen der user gesperrt wird, richte ich immer auch einen zweiten user mit sehr langem und zufällig gewähltem Namen ein. Dann kann ich mich in dem Fall, das mein eigener user gesperrt wurde, wenigstens noch einloggen und nachschauen bzw. meinen user wieder zurücksetzen. In Deinem Fall: Drei Tage warten. ;)
Ich brauche auch keine 3 Tage warten. Modem vom Strom trennen und ich habe eine neue IP ;-) IMO ist das der entscheidende Eintrag, der mich aussperrt: MaxStartups 5:80:6 Ich verstehe nur nicht warum mich denyhosts mit gültiger Identifizierung aussperrt. Meine IP steht in der hosts.deny. BTW, hast du mir ein PM zum Thema "Phising" geschickt. Ich habe nichts erhalten. Ich tendiere mittlerweile dazu, dass es ein Konzept ist um die Google-Warnungen ad-absurdum zu führen. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Al Bogner -
Erik P. Roderwald