ssh loginversuche per mail zustellen lassen, da nicht nachvollziehbare loginversuche geschehen
Hi! Aus gegebenem Anlaß möchte ich Loginversuche von Usern auf meinem Server per Mail zugeschickt bekommen oder diese in einem separate Datei schreiben lassen und mir diese dann regelmäßig zuschicken lassen. Hat jemand eine Idee wie ich das anstellen kann? In /var/log/messages wird ja alles schön mitprotokoliert, aber durch diverse andere Meldungen ist es nicht praktikabel darin händisch danach zu suchen. Grund für meine Bemühungen ist, daß in letzter Zeit öfter jemand versucht sich bei mir als User test, guest oder root einzuloggen. Hier mal ein Beispiel: Aug 3 10:02:09 zwobot sshd[22169]: Illegal user test from ::ffff:131.104.45.14 Aug 3 10:02:09 zwobot sshd[22169]: input_userauth_request: illegal user test Aug 3 10:02:09 zwobot sshd[22169]: Failed password for illegal user test from ::ffff:131.104.45.14 port 51126 ssh2 Aug 3 10:02:10 zwobot sshd[22169]: Received disconnect from ::ffff:131.104.45.14: 11: Bye Bye Aug 3 10:02:11 zwobot sshd[22170]: Illegal user guest from ::ffff:131.104.45.14 Aug 3 10:02:11 zwobot sshd[22170]: input_userauth_request: illegal user guest Aug 3 10:02:11 zwobot sshd[22170]: Failed password for illegal user guest from ::ffff:131.104.45.14 port 51194 ssh2 Aug 3 10:02:12 zwobot sshd[22170]: Received disconnect from ::ffff:131.104.45.14: 11: Bye Bye Reagiert habe ich darauf bis jetzt folgendermaßen. OpenSSH läßt kein ssh-Login für root mehr zu und ein Fallback auf SSH1 ist auch nicht mehr möglich. Solange der Angreifer(?) nicht existente Usernamen benutzt soll mich das nicht weiter interessieren, aber sobald ich mehrere Loginversuche eines existenten Nutzers feststelle würde ich auf jeden Fall anfangen mir Sorgen zu machen. Also gibt es eine Antwort auf meine Problemstellund und wie würdet ihr reagieren? MfG Marco
Am Mittwoch, 4. August 2004 16:56 schrieb Marco Röben:
Hi!
Hallo Marco
Aus gegebenem Anlaß möchte ich Loginversuche von Usern auf meinem Server per Mail zugeschickt bekommen oder diese in einem separate Datei schreiben lassen und mir diese dann regelmäßig zuschicken lassen. Hat jemand eine Idee wie ich das anstellen kann? [..] Aug 3 10:02:09 zwobot sshd[22169]: Illegal user test from ::ffff:131.104.45.14 Aug 3 10:02:09 zwobot sshd[22169]: input_userauth_request: illegal user test Aug 3 10:02:09 zwobot sshd[22169]: Failed password for illegal user test from ::ffff:131.104.45.14 port 51126 ssh2 Aug 3 10:02:10 zwobot sshd[22169]: Received disconnect from ::ffff:131.104.45.14: 11: Bye Bye Aug 3 10:02:11 zwobot sshd[22170]: Illegal user guest from ::ffff:131.104.45.14 Aug 3 10:02:11 zwobot sshd[22170]: input_userauth_request: illegal user guest Aug 3 10:02:11 zwobot sshd[22170]: Failed password for illegal user guest from ::ffff:131.104.45.14 port 51194 ssh2 Aug 3 10:02:12 zwobot sshd[22170]: Received disconnect from ::ffff:131.104.45.14: 11: Bye Bye
Ich versuchs mal (Bitte an alle Profis hier - nicht lachen;-)) ) Was hälst du davon grep -i illegal user /var/log/messages zu nutzen. Automatisierst du das per cron, bekommst du das Ergebnis per Mail. Ja ich weiss - von hinten durch die Brust ins Auge, sollte aber doch gehen... Andy - der mit der Konsole kämpft
Hi, Marco Röben schrieb:
Hi! Aus gegebenem Anlaß möchte ich Loginversuche von Usern auf meinem Server per Mail zugeschickt bekommen oder diese in einem separate Datei schreiben lassen und mir diese dann regelmäßig zuschicken lassen.
in /etc/hosts.allow sshd: ALL: spawn (echo "Zugriff von %c auf %s "|/bin/mail -s "%d-Zugriff von %c auf %s" monitoring) %c ist nur die IP, das musst Du austauschen und ob es an "monitoring" soll weiss ich auch nicht. Aber davon abgesehen schickt es Dir Mails - allerdings bei *jedem* Vorgang. Dazu zählen auch Zugriffe von Nichtusern (Exploits, Vertipper) und scp Kopiervorgänge regards, Michael
On Wednesday 04 August 2004 18:50, Michael Weber wrote: Danke für Eure Ideen!
in /etc/hosts.allow
sshd: ALL: spawn (echo "Zugriff von %c auf %s "|/bin/mail -s "%d-Zugriff von %c auf %s" monitoring)
Das macht genau das was ich wollte.
%c ist nur die IP, das musst Du austauschen und ob es an "monitoring" soll weiss ich auch nicht. Aber davon abgesehen schickt es Dir Mails - allerdings bei *jedem* Vorgang.
Die IP ist als Info schon ganz in Ordnung. Das mir die Zeile bei jedem Event eine Mail schickt ist nicht so schlimm. Soviel Traffic ist auf meinem Rechner nicht und so bleibt wenigstens nicht unbemerkt. Gibt es eigentlich irgendwo eine Liste der verfügbaren Variablen wie z.B. %c? Ich würde mir gerne noch den User anzeigen lassen der versucht hat sich einzuloggen. Ohne diese Info macht die Zeile irgendwie wenig Sinn. In man hosts_access und hosts_options habe ich nichts gefunden. MfG Marco
Hallo Marco, On Wed, Aug 04, 2004 at 09:10:16PM +0200, Marco Röben wrote:
Gibt es eigentlich irgendwo eine Liste der verfügbaren Variablen wie z.B. %c? Ich würde mir gerne noch den User anzeigen lassen der versucht hat sich einzuloggen. Ohne diese Info macht die Zeile irgendwie wenig Sinn. In man hosts_access und hosts_options habe ich nichts gefunden.
man 5 hosts_access dort sind die Optionen aufgelistet. Allerdings wirst du mit dem User %u wohl nur ein unknown erhalten. Greetings Daniel --
Perhaps if I checked up on this, I would find that a person with that name was born under those circumstances. Actually you would find it was me, you disingenuous little asshole. -- Jay Newman und Steve Walz in cp
On Wednesday 04 August 2004 22:43, Daniel Lord wrote:
man 5 hosts_access
dort sind die Optionen aufgelistet. Allerdings wirst du mit dem User %u wohl nur ein unknown erhalten.
Ja, leider bekomme ich nur ein unknown. Naja, so ist das jetzt schonmal besser als vorher. Vielleicht kann ich dem irgendwie noch einen Feinschliff verleihen und ich werde am Wochenende mal einen Blick auf metalog werfen. Danke für Deine Hilfe. MfG Marco
Sorry, meine erste Antwort ging direkt an Marco - warum setzt SuSE den Reply bloß nicht ordentlich? Also nochmal... Marco Röben schrieb am 08/04/2004 04:56 PM:
Aus gegebenem Anlaß möchte ich Loginversuche von Usern auf meinem Server per Mail zugeschickt bekommen oder diese in einem separate Datei schreiben lassen und mir diese dann regelmäßig zuschicken lassen.
Ich weiß nicht, ob metalog bei SuSE dabei ist; auf meiner gentoo-Kiste sieht das wie folgt aus: /etc/metalog/metalog.conf: Password failures : regex = "(password|login|authentication)\s+(fail|invalid)" regex = "(failed|invalid)\s+(password|login|authentication)" regex = "ILLEGAL ROOT LOGIN" logdir = "/var/log/pwdfail" command = "/usr/local/sbin/mail_pwd_failures.sh" /usr/local/sbin/mail_pwd_failures.sh für postfix: #! /bin/sh echo "$3" | mail -s "Warning (program : $2)" root /usr/local/sbin/mail_pwd_failures.sh für qmail: #!/bin/sh echo "To: root Subject:Failure (Warning: $2) $3 " | /var/qmail/bin/qmail-inject -f root MfG, Michael.
Hallo Nur eine kurze Frage: wo speichert kmix und/oder alsmixer die Einstellungen? Im Kontrollzentrum ist bei mir übrigends kein mixer-button, gibt es nicht, bevor das alle vorschlagen :) Gruß Jan Hofmann
Am Mittwoch, 4. August 2004 21:50 schrieb Jan Hofmann: Hallo Nur eine kurze Frage: wo speichert kmix und/oder alsmixer die Einstellungen? Weil die einstellungen werden nicht gespeichert bei mir.. :( Im Kontrollzentrum ist bei mir übrigends kein mixer-button unter sound und multimedia, gibt es nicht, bevor das alle vorschlagen :) btw. ich benutze KDE 3.3, was eigentlich ohne Probleme läuft! bei der 3.2 er war es aber genauso. Gruß Jan Hofmann
On Wednesday 04 August 2004 21:43, Michael Schachtebeck wrote:
Ich weiß nicht, ob metalog bei SuSE dabei ist; auf meiner gentoo-Kiste sieht das wie folgt aus:
Nein, sieht nicht so aus also ob SuSE das mitliefert. Aber danke für die Info und Beispielkonfiguration. Ich werde mich mal selbst auf die Suche nach metalog begeben. MfG Marco
Hi On Wednesday 04 August 2004 16:56, Marco Röben wrote:
... aber sobald ich mehrere Loginversuche eines existenten Nutzers feststelle würde ich auf jeden Fall anfangen mir Sorgen zu machen. Also gibt es eine Antwort auf meine Problemstellund und wie würdet ihr reagieren? Schalte die passwort Authentifizierung ab und lasse nur noch key-Authentifizierung zu. So ist es einem Anrgeifer nicht mehr möglich Passwörter zu erraten. Einen rsa/dsa-key zu erraten ist doch relativ schwierig :-) Ein Angreifer wird bei vernünftigen Passwörtern mit "brute force" wahrscheinlich eh nicht weit kommen. Möglicherweise gibt ein Angreifer aber komplett auf, wenn er sieht dass nur noch key-Authentifizerung möglich ist.
mfg Axel
Axel Heinrici schrieb am 08/05/2004 12:40 PM:
Schalte die passwort Authentifizierung ab und lasse nur noch key-Authentifizierung zu. So ist es einem Anrgeifer nicht mehr möglich Passwörter zu erraten. Einen rsa/dsa-key zu erraten ist doch relativ schwierig :-)
Ich sehe das relativ kritisch - wird einer der Rechner, auf dem sich der private key befindet, kompromittiert, hat der ungebetene Gast gleich Zugriff auf alle anderen Systeme, die den Key akzeptieren - hübscher Domino-Effekt. :( Ich halte ein Paßwort (wenn es die üblichen Anforderungen an sichere Paßwörter erfüllt) immer noch für eine ganze Ecke sicherer. Michael.
Hi On Thursday 05 August 2004 14:06, Michael Schachtebeck wrote:
Ich sehe das relativ kritisch - wird einer der Rechner, auf dem sich der private key befindet, kompromittiert, hat der ungebetene Gast gleich Zugriff auf alle anderen Systeme, die den Key akzeptieren - hübscher Domino-Effekt. :( Hab ich noch nicht intensiv drüber nachgedacht. Aber das ist nur dann richtig wenn du keys ohne passphrase benutzt. Das machen viele aus Komfortgründen. Ich gebe häufig schon einen passphrase ein. Den könnte man auch mit einem keylogger ziehen wenn man den Rechner kompromittiert hat. Aber das kann man ohne key genauso gut.
Ich halte ein Paßwort (wenn es die üblichen Anforderungen an sichere Paßwörter erfüllt) immer noch für eine ganze Ecke sicherer. Dem kann ich so nicht zustimmen. Im Fall das der Rechner mit dem ssh-client kompromittiert und per keylogger der passphrase erschnüffelt wird gäbe es tatsächlich noch den Domino-Effekt. Aber wenn es soweit ist dann wäre auch ohne keys schon der GAU eingetreten, denn der Angreifer würde dann vermutlich eh schon etliche Passwörter kennen. Wenn man tatsächlich immernoch trotz passphrase Angst vor dem Domino-Effekt hat kann man auch für jeden Server einen eigenen private key angeben. Das wird von der Verwaltung her dann zwar etwas lästig, obwohl putty (linux Version habe ich selbser noch nicht getestet) hier schon eine Hilfe ist. Aber dann ist definitiv Schluss mit Domino.
Für einen Angreifer der einfach nur "brute force" rumprobiert ist es jedenfalls wesentlich schwieriger einen key zu erraten als ein Passwort. Marco ging es im Wesentlichen um seinen Server. Und ich bleibe dabei, Domino hin Domino her, dass ein Angreifer, wenn er keys statt Passwörter erraten muss, wohl deutlich eher die Lust verliert. mfg Axel
Hallo. Axel Heinrici schrieb am 08/05/2004 03:26 PM:
Im Fall das der Rechner mit dem ssh-client kompromittiert und per keylogger der passphrase erschnüffelt wird gäbe es tatsächlich noch den Domino-Effekt. Aber wenn es soweit ist dann wäre auch ohne keys schon der GAU eingetreten, denn der Angreifer würde dann vermutlich eh schon etliche Passwörter kennen.
Naja, ich bezog mich eher auf den Fall, dass die User keine Passphrase verwenden - zumindest zeigen mir meine Beobachtungen in meinem Umfeld, dass es fuer viele User eine Entweder-Oder-Entscheidung ist: Entweder Passwort, oder Keys ohne Passphrase. Wird fuer den Key eine Passphrase verwendet, die zudem noch die Kriterien fuer gute Passwoerter erfuellt, ist dieses Verfahren natuerlich eine ganze Ecke sicherer als ein Verfahren, das sich nur auf Passwoerter verlaesst. Ich habe mich da wohl etwas unklar ausgedrueckt,
Für einen Angreifer der einfach nur "brute force" rumprobiert ist es jedenfalls wesentlich schwieriger einen key zu erraten als ein Passwort. Marco ging es im Wesentlichen um seinen Server. Und ich bleibe dabei, Domino hin Domino her, dass ein Angreifer, wenn er keys statt Passwörter erraten muss, wohl deutlich eher die Lust verliert.
Bei dieser Aussage stimme ich Dir voll zu. Zum Sicherheitsrisiko kann aber ein private Key werden, der nicht durch eine Passphrase geschuetzt ist und der Zugang zu mehreren anderen - evtl. sehr wichtigen - Systemen verschafft. Michael.
On Thursday 05 August 2004 12:40, Axel Heinrici wrote:
Schalte die passwort Authentifizierung ab und lasse nur noch key-Authentifizierung zu. So ist es einem Anrgeifer nicht mehr möglich Passwörter zu erraten. Einen rsa/dsa-key zu erraten ist doch relativ schwierig :-)
Da habe ich auch schon drüber nachgedacht. Da ich aber relativ oft von wechselnden Clients, z.B. aus der Uni auf meinen Rechner zugreife wird das kompliziert. Ich könnte natürlich auf einer Diskette oder CD immer meinen Key mitführen... Irgendwie hab ich da aber keine Lust zu. Lieber sichere Passwörter.
Ein Angreifer wird bei vernünftigen Passwörtern mit "brute force" wahrscheinlich eh nicht weit kommen. Möglicherweise gibt ein Angreifer aber komplett auf, wenn er sieht dass nur noch key-Authentifizerung möglich ist.
Das will ich doch mal hoffen. :-) Bis jetzt gab es aber keine weiteren Loginversuche. Was mich aber nicht davon abhält mich weiter mit der Thematik zu beschäftigen. Jetzt will ich das auch zu einem vernünftigen ende führen. MfG Marco
participants (7)
-
Axel Heinrici -
Daniel Lord -
fanclub.ostkurve@t-online.de -
Jan Hofmann -
Marco Röben -
Michael Schachtebeck -
Michael Weber