11.1 Default-Einstellungen f. DoS, etc.
Mein Webserver hat sich verabschiedet und mir ist nicht ganz klar warum. Ich habe linkchecker mehrere Stunden über eine Webseite lassen, dabei wurden zigtausend Links geprüft (keywords, die mehrmals zur gleichen Seite führen). Unter welchen Voraussetzungen wird der Webserver automatisch heruntergefahren? Speicherproblem gab es keines, mehr als 300MB ware laut Munin noch frei, Load max ca. 5, CPU max. 75%. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag 29 September 2009 glaubte Al Bogner zu wissen:
Mein Webserver hat sich verabschiedet und mir ist nicht ganz klar warum. Ich habe linkchecker mehrere Stunden über eine Webseite lassen, dabei wurden zigtausend Links geprüft (keywords, die mehrmals zur gleichen Seite führen).
Unter welchen Voraussetzungen wird der Webserver automatisch heruntergefahren? Speicherproblem gab es keines, mehr als 300MB ware laut Munin noch frei, Load max ca. 5, CPU max. 75%.
Was meinst du genau? Hat sich der Prozess beendet oder hat sich die Hardware heruntergefahren? Ein load von 5 ist gar nichts. Als ich meinen neuen Rechner einem Stresstest unterzogen habe, hat der eine load von über 500 bei gleichzitigem exzessivem Lesen und Schreiben auf der Festplatte überstanden. http://florian-gross.de/gallery/displayimage.php?pid=106&fullsize=1 flo -- Das glaube Ich nicht! Hättest du jetzt "leicht Realistische" Ansätze gesagt, so könnte Ich dir eventuell Recht geben wollen. [WoKo in dag°] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag 29 September 2009 07:54:05 schrieb Florian Gross:
Am Dienstag 29 September 2009 glaubte Al Bogner zu wissen:
Mein Webserver hat sich verabschiedet und mir ist nicht ganz klar warum. Ich habe linkchecker mehrere Stunden über eine Webseite lassen, dabei wurden zigtausend Links geprüft (keywords, die mehrmals zur gleichen Seite führen).
Unter welchen Voraussetzungen wird der Webserver automatisch heruntergefahren? Speicherproblem gab es keines, mehr als 300MB ware laut Munin noch frei, Load max ca. 5, CPU max. 75%.
Was meinst du genau? Hat sich der Prozess beendet oder hat sich die Hardware heruntergefahren?
Es geht um einen VPS bei einem Hoster. Er war per ssh noch ansprechbar. Webseiten konnten aber nicht mehr geladen werden. Ein stop und start des VPS bewirkte, dass die Webseiten wieder da waren. Munin zeigte keine Apache- Prozesse mehr (weiße Fläche). "Number of processes", cpu, Speicher zeigten durchgehend Werte. Bei "apache2 error" und in den messages fand ich nichts besonderes.
Ein load von 5 ist gar nichts.
Ja, aber auf einem Webserver? Durchschnitt 0.23
Als ich meinen neuen Rechner einem Stresstest unterzogen habe, hat der eine load von über 500 bei gleichzitigem exzessivem Lesen und Schreiben auf der Festplatte überstanden.
http://florian-gross.de/gallery/displayimage.php?pid=106&fullsize=1
Ok. Wird ab einer gewissen Anzahl von fehlerhaften Login-Versuchen per ssh die IP- Adressen gesperrt? Wenn nein wie macht man das? Login per user / pw ist gar nicht möglich, sondern nur per key. Mich stören in den logs aber die vielen "Invalid user * from". Nach 3 Fehlversuchen kann ich mir vorstellen die IP für 24h zu sperren. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Wird ab einer gewissen Anzahl von fehlerhaften Login-Versuchen per ssh die IP- Adressen gesperrt? Wenn nein wie macht man das? Login per user / pw ist gar nicht möglich, sondern nur per key. Mich stören in den logs aber die vielen "Invalid user * from". Nach 3 Fehlversuchen kann ich mir vorstellen die IP für 24h zu sperren.
Sieh Dir mal http://www.fail2ban.org/wiki/index.php/Main_Page an, sollte den gewünschten Zweck erfüllen. cu, Tobi -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag 29 September 2009 14:25:51 schrieb Tobias Reichl:
Wird ab einer gewissen Anzahl von fehlerhaften Login-Versuchen per ssh die IP- Adressen gesperrt? Wenn nein wie macht man das? Login per user / pw ist gar nicht möglich, sondern nur per key. Mich stören in den logs aber die vielen "Invalid user * from". Nach 3 Fehlversuchen kann ich mir vorstellen die IP für 24h zu sperren.
Sieh Dir mal http://www.fail2ban.org/wiki/index.php/Main_Page an, sollte den gewünschten Zweck erfüllen. ' Ja, sieht so aus, ist aber für mich zu wenig verständlich. Wie üblich, gibt es bei Suse andere Pfade.
Kann man das für 11.1 übernehmen? http://www.ducea.com/2006/07/03/using-fail2ban-to-block-brute-force-attacks/ Es geht darum, Leute zu blockieren, die sich per User / PW und ssh anzumelden versuchen, zB 3 Login-Versuche 24h IP-Sperre. Da ich nur per Keys Zugriff via ssh erlaube, kommt bei User / PW immer die Meldung: Permission denied (publickey,keyboard-interactive). Der Bot aus Korea hat es 424 Mal hintereinander probiert. Sep 28 17:29:00 vps5 sshd[4037]: Invalid user boss from 119.149.189.199 Sep 28 17:29:02 vps5 sshd[4039]: Invalid user sasha from 119.149.189.199 Sep 28 17:29:03 vps5 sshd[4042]: Invalid user vic from 119.149.189.199 Sep 28 17:29:05 vps5 sshd[4044]: Invalid user ranjith from 119.149.189.199 Sep 28 17:30:48 vps5 sshd[4271]: Invalid user guset from 119.149.189.199 Sep 28 17:31:05 vps5 sshd[4291]: Invalid user guest from 119.149.189.199 Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Al, Am Mittwoch 30 September 2009 15:13:52 schrieb Al Bogner:
Sieh Dir mal http://www.fail2ban.org/wiki/index.php/Main_Page an, sollte den gewünschten Zweck erfüllen.
Es geht darum, Leute zu blockieren, die sich per User / PW und ssh anzumelden versuchen, zB 3 Login-Versuche 24h IP-Sperre. Da ich nur per Keys Zugriff via ssh erlaube, kommt bei User / PW immer die Meldung: Permission denied (publickey,keyboard-interactive).
du kannst ssh auch so konfigurieren, das nur noch das Public-Key-Verfahren angewendet wird: Die Anmeldung mit Benutzernamen und Passwort wird dann gar nicht mehr akzeptiert, sondern nur noch die Authentifizierung mit Schlüsseldateien. Dazu als root die /etc/ssh/sshd_config in einem Editor öffnen und folgende Zeilen suchen: PubkeyAuthentication yes ChallengeResponseAuthentication no KerberosAuthentication no PasswordAuthentication no Die Einträge müssten schon vorhanden sein, sind aber auskommentiert. Falls eine Zeile nicht existiert, einfach einfügen. Danach den Server neu starten: /etc/init.d/sshd restart. Gruß Thomas
Al
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch 30 September 2009 15:28:36 schrieb Thomas Schirrmacher: Hallo Thomas,
Am Mittwoch 30 September 2009 15:13:52 schrieb Al Bogner:
Sieh Dir mal http://www.fail2ban.org/wiki/index.php/Main_Page an, sollte den gewünschten Zweck erfüllen.
Es geht darum, Leute zu blockieren, die sich per User / PW und ssh anzumelden versuchen, zB 3 Login-Versuche 24h IP-Sperre. Da ich nur per Keys Zugriff via ssh erlaube, kommt bei User / PW immer die Meldung: Permission denied (publickey,keyboard-interactive).
du kannst ssh auch so konfigurieren, das nur noch das Public-Key-Verfahren angewendet wird:
Die Anmeldung mit Benutzernamen und Passwort wird dann gar nicht mehr akzeptiert, sondern nur noch die Authentifizierung mit Schlüsseldateien.
Dazu als root die /etc/ssh/sshd_config in einem Editor öffnen und folgende Zeilen suchen:
PubkeyAuthentication yes
ChallengeResponseAuthentication no
KerberosAuthentication no
PasswordAuthentication no
Die Einträge müssten schon vorhanden sein, sind aber auskommentiert. Falls eine Zeile nicht existiert, einfach einfügen.
Danach den Server neu starten:
/etc/init.d/sshd restart.
Reicht nicht "UsePAM no" mit den Default-Einstellungen? /etc/ssh/sshd_config Protocol 2 PasswordAuthentication no UsePAM no X11Forwarding no Subsystem sftp /usr/lib/ssh/sftp-server AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL So etwa habe ich es ja gemacht. Das hindert die Bots aber nicht daran, es trotzdem wiederholt zu versuchen. Fail2ban dürfte schon das richtige sein. Ich will diese Idioten blockieren, macht ja nur den Server für normale Besucher langsam. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch 30 September 2009 16:12:22 schrieb Al Bogner:
Dazu als root die /etc/ssh/sshd_config in einem Editor öffnen und folgende Zeilen suchen:
PubkeyAuthentication yes
ChallengeResponseAuthentication no
KerberosAuthentication no
PasswordAuthentication no
Die Einträge müssten schon vorhanden sein, sind aber auskommentiert. Falls eine Zeile nicht existiert, einfach einfügen.
Danach den Server neu starten:
/etc/init.d/sshd restart.
Reicht nicht "UsePAM no" mit den Default-Einstellungen?
Ich würde die anderen Einträge auch noch hinzufügen.
Fail2ban dürfte schon das richtige sein.
Fail2ban ist in der Tat das richtige dafür. Bei Suse werden alle login - Versuche in /var/log/messages protokolliert. file2ban überwacht die Datei, wertet sie aus und setzt nach 5 Fehlversuchen mittels iptables einen Filter, der sämtliche SSH-Pakete für zehn Minuten sperrt, die von der IP-Adresse mit den Fehlversuchen stammen. Über die Konfigurationsdatei /etc/fail2ban.conf können die Werte nach Gusto verändert werden. Hinter "maxfailures =" legst Du beispielsweise fest, wieviele Fehlversuche Du zulassen möchtest. Mit "bantime=" wird die Dauer der Sperrung in Sekunden angegeben. Es sollten 10 Minuten Sperre völlig ausreichend sein. Welche IP-Adressen letztendlich gesperrt wurden, siehst Du im Logfile: /var/log/fail2ban.log. Es gibt in der conf noch weitere Einstellmöglichkeiten wie beispielsweise Mailbenachrichtigung etc. Gruß Thomas
Al
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag 29 September 2009 glaubte Al Bogner zu wissen:
Am Dienstag 29 September 2009 07:54:05 schrieb Florian Gross:
Am Dienstag 29 September 2009 glaubte Al Bogner zu wissen:
Mein Webserver hat sich verabschiedet und mir ist nicht ganz klar warum. Ich habe linkchecker mehrere Stunden über eine Webseite lassen, dabei wurden zigtausend Links geprüft (keywords, die mehrmals zur gleichen Seite führen).
Unter welchen Voraussetzungen wird der Webserver automatisch heruntergefahren? Speicherproblem gab es keines, mehr als 300MB ware laut Munin noch frei, Load max ca. 5, CPU max. 75%.
Was meinst du genau? Hat sich der Prozess beendet oder hat sich die Hardware heruntergefahren?
Es geht um einen VPS bei einem Hoster. Er war per ssh noch ansprechbar. Webseiten konnten aber nicht mehr geladen werden. Ein stop und start des VPS bewirkte, dass die Webseiten wieder da waren. Munin zeigte keine Apache- Prozesse mehr (weiße Fläche). "Number of processes", cpu, Speicher zeigten durchgehend Werte.
Bei "apache2 error" und in den messages fand ich nichts besonderes.
Also hat es eher den apache zersemmelt.
Ein load von 5 ist gar nichts.
Ja, aber auf einem Webserver? Durchschnitt 0.23
Der sollte trotzdem nicht gleich abschmieren, nur weil sich der load mal der 1 vor dem Komma nähert. Die Hardware unterscheidet sich doch nicht von der anderer Server.
Als ich meinen neuen Rechner einem Stresstest unterzogen habe, hat der eine load von über 500 bei gleichzitigem exzessivem Lesen und Schreiben auf der Festplatte überstanden.
http://florian-gross.de/gallery/displayimage.php?pid=106&fullsize=1
Ok.
Ach so: X und KDE waren auch gestartet, nur wurden alle Mausbewegungen oder Tastendrücke sehr verzögert angezeigt. Ich wüßte da jetzt auch keine Erklärung. Kannst du das Problem reproduzieren? flo --
Ähm, naja, öh. Genau so sehe ich das auch. [Timo Dotzauer und Sebastian Helms in suse-linux] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, On Dienstag 29 September 2009, Al Bogner wrote:
Wird ab einer gewissen Anzahl von fehlerhaften Login-Versuchen per ssh die IP- Adressen gesperrt? Wenn nein wie macht man das? Login per user / pw ist gar nicht möglich, sondern nur per key. Mich stören in den logs aber die vielen "Invalid user * from". Nach 3 Fehlversuchen kann ich mir vorstellen die IP für 24h zu sperren.
Die Lösung heißt pam_abl. Damit kannst Du konfigurieren, wie lange nach wievielen Fehlversuchen der Loginversuch für einen Host und/oder einen User abgelehnt wird. Ist der Angreifer halbwegs intelligent, dann hört er auf und geht zum nächsten Server über. hth Liebe Grüße Erik -- "Zuerst schuf der liebe Gott den Mann, dann schuf er die Frau. Danach tat ihm der Mann leid und er gab ihm Tabak." Mark Twain Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148 http://www.zigarren-rollen.de http://www.roderwald.de http://blogs.roderwald.de http://forum.roderwald.de http://twitter.com/erikrode -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch 30 September 2009 11:27:54 schrieb Erik P. Roderwald: Hallo Erik,
On Dienstag 29 September 2009, Al Bogner wrote:
Wird ab einer gewissen Anzahl von fehlerhaften Login-Versuchen per ssh die IP- Adressen gesperrt? Wenn nein wie macht man das? Login per user / pw ist gar nicht möglich, sondern nur per key. Mich stören in den logs aber die vielen "Invalid user * from". Nach 3 Fehlversuchen kann ich mir vorstellen die IP für 24h zu sperren.
Die Lösung heißt pam_abl. Damit kannst Du konfigurieren, wie lange nach wievielen Fehlversuchen der Loginversuch für einen Host und/oder einen User abgelehnt wird. Ist der Angreifer halbwegs intelligent, dann hört er auf und geht zum nächsten Server über.
Sorry, ich stehe daneben. ich finde keine Datei pam_abl im System. webpin pam_abl ... performing request on http://software.opensuse- community.org/ws/searchservice/No results found for "pam_abl" in openSUSE_111 Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, On Mittwoch 30 September 2009, Al Bogner wrote:
Sorry, ich stehe daneben. ich finde keine Datei pam_abl im System.
webpin pam_abl ... performing request on http://software.opensuse- community.org/ws/searchservice/No results found for "pam_abl" in openSUSE_111
Such mal nur nach pam. pam_abl ist Teil eines Pakets. Sorry. Liebe Grüße Erik -- "Alle Welt spricht immer über die Schädlichkeit des Rauchens. Ich finde, man sollte auch mal was über die Schädlichkeit des Nichtrauchens sagen ..." Wieland Herzfelde Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148 http://www.zigarren-rollen.de http://www.roderwald.de http://blogs.roderwald.de http://forum.roderwald.de http://twitter.com/erikrode -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Al Bogner
-
Erik P. Roderwald
-
Florian Gross
-
Thomas Schirrmacher
-
Tobias Reichl