Multiple Einbruchversuche per ssh unterbinden
Liebe Leute, für mehrere Rechner, die aus dem Internet per ssh zu erreichen sind, fühle ich mich verantwortlich. Seit Ewigkeiten beobachte ich dabei, dass es regelmäßige Angriffe von außen gibt, die versuchen in die Rechner einzubrechen. In der /var/log/messages findet man dann hunderte Einträge, wo jemand von einer festen ip aus mit einer Usernamen/Passwort-Liste versucht, sich anzumelden. Meistens sind die ip-Adressen nicht einmal aufzulösen. Soweit ich weiß, ist noch niemand bei uns eingedrungen. (Meine Hand würde ich dafür aber auch nicht ins Feuer legen.) Trotzdem wüsste ich gerne, was man tun kann, es diesen Leuten etwas schwerer zu machen. Zu meinen Ideen gehört, dass ssh Anfragen von hosts, die in den letzten x Minuten mehr als y Zugriffe erfolglos hatten, für z Minuten gar nicht erst beantwortet. Frage: Kann ssh so etwas und ich muss es nur in der sshd_config richtig eintragen? Oder kann ich so etwas mit der SuSE-Firewall oder direkt mit iptables realisieren? Gruß Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Handwerker schrieb:
Liebe Leute,
Hallo Jan,
für mehrere Rechner, die aus dem Internet per ssh zu erreichen sind, fühle ich mich verantwortlich. Seit Ewigkeiten beobachte ich dabei, dass es regelmäßige Angriffe von außen gibt, die versuchen in die Rechner einzubrechen. In der /var/log/messages findet man dann hunderte Einträge, wo jemand von einer festen ip aus mit einer Usernamen/Passwort-Liste versucht, sich anzumelden. Meistens sind die ip-Adressen nicht einmal aufzulösen.
Soweit ich weiß, ist noch niemand bei uns eingedrungen. (Meine Hand würde ich dafür aber auch nicht ins Feuer legen.) Trotzdem wüsste ich gerne, was man tun kann, es diesen Leuten etwas schwerer zu machen. Zu meinen Ideen gehört, dass ssh Anfragen von hosts, die in den letzten x Minuten mehr als y Zugriffe erfolglos hatten, für z Minuten gar nicht erst beantwortet.
Frage: Kann ssh so etwas und ich muss es nur in der sshd_config richtig eintragen? Oder kann ich so etwas mit der SuSE-Firewall oder direkt mit iptables realisieren?
ich denke fail2ban ist dein Freund. Remember to have fun, Georg -- georg schilling systemhaus SAR gmbh tel: +49 2401 9195-33 http://www.sar.de arnold-sommerfeld-ring 27 fax: +49 2401 9195-66 52499 baesweiler amtsgericht aachen - hrb. 5729 - gf hans-juergen schenkelberg !DSPAM:245,49a6511d26903859411566! -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Handwerker schrieb:
Liebe Leute,
für mehrere Rechner, die aus dem Internet per ssh zu erreichen sind, fühle ich mich verantwortlich. Seit Ewigkeiten beobachte ich dabei, dass es regelmäßige Angriffe von außen gibt, die versuchen in die Rechner einzubrechen. In der /var/log/messages findet man dann hunderte Einträge, wo jemand von einer festen ip aus mit einer Usernamen/Passwort-Liste versucht, sich anzumelden. Meistens sind die ip-Adressen nicht einmal aufzulösen.
Soweit ich weiß, ist noch niemand bei uns eingedrungen. (Meine Hand würde ich dafür aber auch nicht ins Feuer legen.) Trotzdem wüsste ich gerne, was man tun kann, es diesen Leuten etwas schwerer zu machen. Zu meinen Ideen gehört, dass ssh Anfragen von hosts, die in den letzten x Minuten mehr als y Zugriffe erfolglos hatten, für z Minuten gar nicht erst beantwortet.
Frage: Kann ssh so etwas und ich muss es nur in der sshd_config richtig eintragen? Oder kann ich so etwas mit der SuSE-Firewall oder direkt mit iptables realisieren?
Eine Idee könnte sein, den Port zu verbiegen..... Gruß, Boris -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Boris schrieb:
Jan Handwerker schrieb:
Liebe Leute,
für mehrere Rechner, die aus dem Internet per ssh zu erreichen sind, fühle ich mich verantwortlich. Seit Ewigkeiten beobachte ich dabei, dass es regelmäßige Angriffe von außen gibt, die versuchen in die Rechner einzubrechen. In der /var/log/messages findet man dann hunderte Einträge, wo jemand von einer festen ip aus mit einer Usernamen/Passwort-Liste versucht, sich anzumelden. Meistens sind die ip-Adressen nicht einmal aufzulösen.
Soweit ich weiß, ist noch niemand bei uns eingedrungen. (Meine Hand würde ich dafür aber auch nicht ins Feuer legen.) Trotzdem wüsste ich gerne, was man tun kann, es diesen Leuten etwas schwerer zu machen. Zu meinen Ideen gehört, dass ssh Anfragen von hosts, die in den letzten x Minuten mehr als y Zugriffe erfolglos hatten, für z Minuten gar nicht erst beantwortet.
Frage: Kann ssh so etwas und ich muss es nur in der sshd_config richtig eintragen? Oder kann ich so etwas mit der SuSE-Firewall oder direkt mit iptables realisieren?
Eine Idee könnte sein, den Port zu verbiegen.....
..... oder Passwort-Auth disablen und nur mit keys arbeiten! noch'n Gruß, Boris -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Boris wrote:
Jan Handwerker schrieb: ...
fühle ich mich verantwortlich. Seit Ewigkeiten beobachte ich dabei, dass es regelmäßige Angriffe von außen gibt, die versuchen in die Rechner einzubrechen. In der /var/log/messages findet man dann
Eine Idee könnte sein, den Port zu verbiegen.....
Das hatten wir früher auch und die Zahl der Angriffe war tatsächlich deutlich geringer. Aber wir arbeiten auch mit Institutionen zusammen, die einen Zugriff _nach außen_ nur über Port 22 erlauben. Da war es dann immer ein Problem, überhaupt Kommunikation hinzubekommen. Daneben glaube ich, dass es die Profis unter den Hackern keine Probleme bereitet, ssh unter Port x zu finden. Security by Obscurity hilf bei denen nix. Und genau die sind ja das Problem. Oder? Trotzdem dank für den Hinweis.
..... oder Passwort-Auth disablen und nur mit keys arbeiten!
Jaaa. Da hast Du natürlich recht. Bedeutet natürlich, dass ich die keys immer mit dabei haben muss. Du hast recht, aber ich bin so faul... (Ich denke noch einmal darüber nach, wo und wie das ohne Komfortverlust geht...) Danke! Gruß Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Handwerker schrieb:
Boris wrote:
Jan Handwerker schrieb: ...
fühle ich mich verantwortlich. Seit Ewigkeiten beobachte ich dabei, dass es regelmäßige Angriffe von außen gibt, die versuchen in die Rechner einzubrechen. In der /var/log/messages findet man dann
Eine Idee könnte sein, den Port zu verbiegen.....
Das hatten wir früher auch und die Zahl der Angriffe war tatsächlich deutlich geringer. Aber wir arbeiten auch mit Institutionen zusammen, die einen Zugriff _nach außen_ nur über Port 22 erlauben. Da war es dann immer ein Problem, überhaupt Kommunikation hinzubekommen.
OK, das ist dann ja aber deren Problem, oder?
Daneben glaube ich, dass es die Profis unter den Hackern keine Probleme bereitet, ssh unter Port x zu finden. Security by Obscurity hilf bei denen nix. Und genau die sind ja das Problem. Oder?
Sicherlich richtig.
Trotzdem dank für den Hinweis.
..... oder Passwort-Auth disablen und nur mit keys arbeiten!
Jaaa. Da hast Du natürlich recht. Bedeutet natürlich, dass ich die keys immer mit dabei haben muss. Du hast recht, aber ich bin so faul... (Ich denke noch einmal darüber nach, wo und wie das ohne Komfortverlust geht...) Danke!
Ich hatte auch vor meiner Überwindung zur Schlüsselnutzung ähnliche Vorbehalte. Inzwischen bin ich sehr glücklich über die Umstellung. Ich brauche mir keine Passwort mehr zu merken, geschweigen denn, sie am laufenden Band einzuhackern. Weiter erlaubt mir key-auth, remote Skripte auszuführen, ohne dabei sein zu müssen oder das Passwort in irgendwelchen Code zu schreiben. Das finde ich sehr komfortabel. Die Schlüssel passen im Zweifel auf einen USB-Stick; ich habe sie einfach auf meinem eeePC, den ich sowieso fast immer dabei habe.... Grüße, Boris -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Boris wrote:
Jan Handwerker schrieb:
Boris wrote:
Eine Idee könnte sein, den Port zu verbiegen.....
Das hatten wir früher auch und die Zahl der Angriffe war tatsächlich deutlich geringer. Aber wir arbeiten auch mit Institutionen zusammen, die einen Zugriff _nach außen_ nur über Port 22 erlauben. Da war es dann immer ein Problem, überhaupt Kommunikation hinzubekommen.
OK, das ist dann ja aber deren Problem, oder?
Ne. Defacto leider nicht. Wenn nämlich ein Mitarbeiter von uns in Kooperation auf deren Rechnern arbeitet und von dort Daten wieder zu uns schieben möchte, dann ist das unser Problem. Nicht das des Kooperationspartners. (Und in dieses Problem sind schon Mannmonate gegangen.)
..... oder Passwort-Auth disablen und nur mit keys arbeiten!
Ich hatte auch vor meiner Überwindung zur Schlüsselnutzung ähnliche Vorbehalte. Inzwischen bin ich sehr glücklich über die Umstellung. Ich brauche mir keine Passwort mehr zu merken, geschweigen denn, sie am laufenden Band einzuhackern. Weiter erlaubt mir key-auth, remote Skripte auszuführen, ohne dabei sein zu müssen oder das Passwort in irgendwelchen Code zu schreiben. Das finde ich sehr komfortabel. Die Schlüssel passen im Zweifel auf einen USB-Stick; ich habe sie einfach auf meinem eeePC, den ich sowieso fast immer dabei habe....
Wir erlauben gerade beides: Schlüssel und Passwort. Damit haben wir den Komfort von beiden Systemen, aber auch die Nachteile. Ich habe meinen USB-Stick leider eben auch nur _fast_ immer dabei. Gruß Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
At Thu, 26 Feb 2009 10:43:55 +0100, Jan Handwerker wrote:
Wir erlauben gerade beides: Schlüssel und Passwort. Damit haben wir den Komfort von beiden Systemen, aber auch die Nachteile. Ich habe meinen USB-Stick leider eben auch nur _fast_ immer dabei.
You can't have it all. Das Problem ist nur in den Griff zu bekommen, wenn entweder der login via Passwort abgeschaltet wird, oder die Passwoerter in das Schema ([a-z][A-Z][0-9][/&%#!?=:,.]){12,} passen. Dann kannst du das Hintergrundrauschen einfach ignorieren. Ich persoenlich aktiviere niemals ssh-Zugaenge, bei denen Passwort-login erlaubt ist. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thu, 26 Feb 2009 09:19:33 +0100, Jan Handwerker <techuser.handwerker@imk.fzk.de> wrote:
Liebe Leute,
für mehrere Rechner, die aus dem Internet per ssh zu erreichen sind, fühle ich mich verantwortlich. Seit Ewigkeiten beobachte ich dabei, dass es regelmäßige Angriffe von außen gibt, die versuchen in die Rechner einzubrechen. In der /var/log/messages findet man dann hunderte Einträge, wo jemand von einer festen ip aus mit einer Usernamen/Passwort-Liste versucht, sich anzumelden. Meistens sind die ip-Adressen nicht einmal aufzulösen.
Soweit ich weiß, ist noch niemand bei uns eingedrungen. (Meine Hand würde ich dafür aber auch nicht ins Feuer legen.) Trotzdem wüsste ich gerne, was man tun kann, es diesen Leuten etwas schwerer zu machen. Zu meinen Ideen gehört, dass ssh Anfragen von hosts, die in den letzten x Minuten mehr als y Zugriffe erfolglos hatten, für z Minuten gar nicht erst beantwortet.
Frage: Kann ssh so etwas und ich muss es nur in der sshd_config richtig eintragen? Oder kann ich so etwas mit der SuSE-Firewall oder direkt mit iptables realisieren?
Wir haben das Problem auf unserem Server auch gehabt. Im Grunde ist das nur ganz normales "Rauschen", oft erzeugt von irgendwelchen Zombie-Maschinen, die nach neuen Opfern suchen. Als Erstes würde ich den Root-Login unterbinden. Login also nur noch mit einem eingeschränkten Benutzerkonto. Gleichzeitig könntest du in Betracht ziehen, den Login mit Passwort abzuschalten und das Einloggen nur noch mit Key zuzulassen, vgl. etwa hier: http://www.infosecprojects.net/linuxtutorials/ssh-public-key.html Ich habe es nach einer anderen Anleitung gemacht, die ich jetzt nicht wiederfinde, aber diese scheint auf den ersten Blick auch ok zu sein. Der Key ist 1024 oder 2048 Bytes lang, während dein Passwort nur acht oder zehn Zeichen hat. Wichtig: Du könntest dich selbst aussperren, wenn etwas nicht klappt. Lasse also eine ssh-Verbindung offen und probiere den Login mit einer zweiten Verbindung. So kannst du mit der existierenden Verbindung den Fehler beheben. Das Verlegen des Ports ist nur Kosmetik. Wer ernsthaft einbrechen will, scannt alle Ports und findet natürlich auch den verlegten SSH-Zugang. Das Verlegen des Ports dient nicht der Sicherheit, hilft allerdings ein wenig dabei, die Logfiles sauber zu halten, weil die automatischen Skripte meist nur den Standardport probieren. Diese Zugriffsversuche erscheinen dann gar nicht mehr im Log. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Handwerker wrote:
Liebe Leute,
für mehrere Rechner, die aus dem Internet per ssh zu erreichen sind, fühle ich mich verantwortlich. Seit Ewigkeiten beobachte ich dabei, dass es regelmäßige Angriffe von außen gibt, die versuchen in die Rechner einzubrechen. In der /var/log/messages findet man dann hunderte Einträge, wo jemand von einer festen ip aus mit einer Usernamen/Passwort-Liste versucht, sich anzumelden. Meistens sind die ip-Adressen nicht einmal aufzulösen.
Soweit ich weiß, ist noch niemand bei uns eingedrungen. (Meine Hand würde ich dafür aber auch nicht ins Feuer legen.) Trotzdem wüsste ich gerne, was man tun kann, es diesen Leuten etwas schwerer zu machen. Zu meinen Ideen gehört, dass ssh Anfragen von hosts, die in den letzten x Minuten mehr als y Zugriffe erfolglos hatten, für z Minuten gar nicht erst beantwortet.
Frage: Kann ssh so etwas und ich muss es nur in der sshd_config richtig eintragen? Oder kann ich so etwas mit der SuSE-Firewall oder direkt mit iptables realisieren?
Ja, die SuseFirewall kann das reihenweise Durchtesten in kurzer Zeit abblocken. Dafür musst du halt eine Zeile mit in die Konfig aufnehmen. FW_SERVICES_REJECT_EXT="0/0,tcp,113" # Example: # Allow max three ssh connects per minute from the same IP address: # "0/0,tcp,22,,hitcount=3,blockseconds=60,recentname=ssh" # # The special value _rpc_ is recognized as protocol and means that dport is # interpreted as rpc service name. See FW_SERVICES_EXT_RPC for # details. # Ich verwende für den Zweck fail2ban, da auch auf FTP die Scriptkiddies ziemlich aktiv sind. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Handwerker schrieb:
In der /var/log/messages findet man dann hunderte Einträge, wo jemand von einer festen ip aus mit einer Usernamen/Passwort-Liste versucht, sich anzumelden.
Wenn du halbwegs sichere Passwörter hast, ein rein kosmetisches Problem. Es wird einfach mal in Blaue hinein probiert, ob der User 'sam' das Passwort '123passwort' hat... Die Idee, den ssh-Port zu verschieben bringt für DIESES Problem auf jeden Fall Abhilfe. Der Scann basiert auf dem Zufallsprinzip, dein Rechner wird nur "angegriffen" weil er eben da ist. Das ist kein gezielter Angriff auf genau dein System, sondern eher ein Streifzug durch die Gemeinde, bei dem überall mal geschaut wird, ob die Haustüre nur angelehnt ist. Die Mühe, auch die Keller-, Terassen- und Garagentüre zu probieren machen sich diese Scriptkiddies nicht. Wer so clever ist, den Port zu verbiegen, der lässt meist auch keine schwachen Passwörter zu ;-) Aber wenn du noch ein bisschen mehr Security by obscurity wünschst, lies dich mal in Portknocking ein http://de.wikipedia.org/wiki/Portknocking Gruß Uli -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 26.02.2009 11:01, Ulrich Gehauf schrieb:
Jan Handwerker schrieb:
In der /var/log/messages findet man dann hunderte Einträge, wo jemand von einer festen ip aus mit einer Usernamen/Passwort-Liste versucht, sich anzumelden.
Wenn du halbwegs sichere Passwörter hast, ein rein kosmetisches Problem. Es wird einfach mal in Blaue hinein probiert, ob der User 'sam' das Passwort '123passwort' hat...
Die Idee, den ssh-Port zu verschieben bringt für DIESES Problem auf jeden Fall Abhilfe. Der Scann basiert auf dem Zufallsprinzip, dein Rechner wird nur "angegriffen" weil er eben da ist. Das ist kein gezielter Angriff auf genau dein System, sondern eher ein Streifzug durch die Gemeinde, bei dem überall mal geschaut wird, ob die Haustüre nur angelehnt ist. Die Mühe, auch die Keller-, Terassen- und Garagentüre zu probieren machen sich diese Scriptkiddies nicht. Wer so clever ist, den Port zu verbiegen, der lässt meist auch keine schwachen Passwörter zu ;-)
Aber wenn du noch ein bisschen mehr Security by obscurity wünschst, lies dich mal in Portknocking ein http://de.wikipedia.org/wiki/Portknocking
Gruß Uli
Fail2ban ist auch eine Möglichkeit, mfg K. Müller -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Wenn ich mich entscheide den Port nicht bei 22 zu belassen, sondern gezielt einen anderen verwenden möchte, wie kann ich herausbekommen, welche Ports eigentlich auf einem gegebenen System nicht eventuell von irgendeiner anderen Applikation benutzt werden könnten? :) Kann mir vorstellen, dass das gar nicht so einfach ist... Tips?
Marko Käning wrote:
Wenn ich mich entscheide den Port nicht bei 22 zu belassen, sondern gezielt einen anderen verwenden möchte, wie kann ich herausbekommen, welche Ports eigentlich auf einem gegebenen System nicht eventuell von irgendeiner anderen Applikation benutzt werden könnten? :) Kann mir vorstellen, dass das gar nicht so einfach ist...
Tips?
Ein Blick in /etc/services gibt einen netten Überblick :-) Gruß Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ein Blick in /etc/services gibt einen netten Überblick :-) Schon klar, aber das ist nur ein erster Anhaltspunkt! Müssen sich dort tatsächlich alle Dienste mit ihren Ports eintragen um vom System akzeptiert zu werden?
Kann sich ein Daemon nicht auch ohne dort aufgelistet zu sein einen beliebigen Port schnappen? Oder sehe ich das falsch?
Marko Käning wrote:
Ein Blick in /etc/services gibt einen netten Überblick :-) Schon klar, aber das ist nur ein erster Anhaltspunkt! Müssen sich dort tatsächlich alle Dienste mit ihren Ports eintragen um vom System akzeptiert zu werden?
Kann sich ein Daemon nicht auch ohne dort aufgelistet zu sein einen beliebigen Port schnappen?
Oder sehe ich das falsch?
Die Ports, die gerade benutzt werden, bekommst Du mit netstat heraus. Ich glaube netstat -l und ein -n hintendran zeigt dann die Portnummern. (Nur der obere Teil interessiert Dich wirklich.) Aber schau Dir mal die man-page von netstat an. Gruß Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, On Friday 27 February 2009 11:36:36 Jan Handwerker wrote:
Ich glaube netstat -l und ein -n
Was man sich gut merken kann weil es sprechend ist (fast wie "ps fux"): netstat -tunap Roman -- Roman Fietze Telemotive AG Büro Mühlhausen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
netstat -tunap
Ja, netstat ist schon klar, aber das zeigt mir immer noch nicht alle potentiell möglichen Ports, da ja einige Programme zum Zeitpunkt dieses Tests noch nicht laufen könnten und erst später ihren Claim abzustecken gedenken. Ist aber eher ein grundsätzliches Problem. Muss man wohl bei jedem System ausprobieren. Kann mir nämlich vorstellen, dass man sich sehr leicht selbst aus seinem System aussperren kann, sollte man da mal den falschen Port dem sshd vorgeben... :|
Hallo Marko, Marko Käning schrieb:
Wenn ich mich entscheide den Port nicht bei 22 zu belassen, sondern gezielt einen anderen verwenden möchte, wie kann ich herausbekommen, welche Ports eigentlich auf einem gegebenen System nicht eventuell von irgendeiner anderen Applikation benutzt werden könnten? :) Kann mir vorstellen, dass das gar nicht so einfach ist...
Das ist sogar recht einfach: netstat -an | grep LISTEN tcp 0 0 0.0.0.0:901 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN In /etc/services kannst Du dann nachschauen was es ist. Natürlich funktioniert das nur für die Ports auf denen grad Services liegen/lauschen. Die Ports unter <1024 sind sog. priviliegierte Ports. Wenn Du den sshd verlegen willst dann auf einen Port über 1024. Dann solltest Du auch i.allg. mit anderen Diensten nicht in Kollision geraten. z.B. 22000 oder 44000 wär doch ein gutes Beispiel ;) Gruß Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, On Friday 27 February 2009 13:33, Axel Birndt wrote:
netstat -an | grep LISTEN tcp 0 0 0.0.0.0:901 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN
Das ist hoffentlich ein lokaler Server. Sonst solltest Du dringend was dagegen unternehmen, dass Swat und ipp in die Welt hinaus horchen. ;) Selbst bei lokalen Servern ist es meist ratsam, dass Swat nur auf dem loop back device horcht. Ist mir nur so aufgefallen. :) Liebe Grüße Erik -- "Die meisten jagen so sehr dem Genuß nach, daß sie an ihm vorbeilaufen." Søren Kierkegaard Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg http://www.zigarren-rollen.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Erik P. Roderwald schrieb:
Hallo zusammen,
On Friday 27 February 2009 13:33, Axel Birndt wrote:
netstat -an | grep LISTEN tcp 0 0 0.0.0.0:901 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN
Das ist hoffentlich ein lokaler Server. Sonst solltest Du dringend was dagegen unternehmen, dass Swat und ipp in die Welt hinaus horchen. ;) Selbst bei lokalen Servern ist es meist ratsam, dass Swat nur auf dem loop back device horcht.
Ist mir nur so aufgefallen. :)
Danke, für den Tipp. Ist mein Notebook & kein Server. Ich weiß das da viel zu viel horcht ;) Die Dienste mal auf's Loopback-Interface zu binden ist ne gute Idee :-) Danke für Deine Aufmerksamkeit. Gruß Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, On Thursday 26 February 2009 09:19, Jan Handwerker wrote:
Trotzdem wüsste ich gerne, was man tun kann, es diesen Leuten etwas schwerer zu machen. Zu meinen Ideen gehört, dass ssh Anfragen von hosts, die in den letzten x Minuten mehr als y Zugriffe erfolglos hatten, für z Minuten gar nicht erst beantwortet.
pam ist Dein Freund. :) Liebe Grüße Erik -- "An den Zigarren, die sie rauchen, und an den Komponisten, die sie lieben, werdet ihr die Beschaffenheit der Menschenseelen erkennen." John Galsworthy Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg http://www.zigarren-rollen.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Jan! On Thu, 26 Feb 2009, Jan Handwerker wrote:
Frage: Kann ssh so etwas und ich muss es nur in der sshd_config richtig eintragen? Oder kann ich so etwas mit der SuSE-Firewall oder direkt mit iptables realisieren?
pam_abl, fail2ban, iptables. Such Dir was aus ;) Mit freundlichen Grüßen Christian -- hundred-and-one symptoms of being an internet addict: 129. You cancel your newspaper subscription. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Christian Brabandt schrieb:
Hi Jan!
On Thu, 26 Feb 2009, Jan Handwerker wrote:
Frage: Kann ssh so etwas und ich muss es nur in der sshd_config richtig eintragen? Oder kann ich so etwas mit der SuSE-Firewall oder direkt mit iptables realisieren?
pam_abl, fail2ban, iptables. Such Dir was aus ;)
Mit freundlichen Grüßen Christian
Hallo Christian, setzt du zufällig pam_abl selbst ein? Falls ja, werden bei dir die drei Passwort-Versuche bei einem connect als 3 Events registriert? (macht bei Scriptkiddie-Attacken keinen Unterschied, weil eh jeder Versuch ein neuer Connect ist) Viele Grüsse Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
(Sorry für PM, mein Squirrelmail kann wohl kein List-Reply....) On Fri, February 27, 2009 5:47 am, hamann.w@t-online.de wrote:
Christian Brabandt schrieb:
On Thu, 26 Feb 2009, Jan Handwerker wrote:
Frage: Kann ssh so etwas und ich muss es nur in der sshd_config richtig eintragen? Oder kann ich so etwas mit der SuSE-Firewall oder direkt mit iptables realisieren?
pam_abl, fail2ban, iptables. Such Dir was aus ;)
setzt du zufällig pam_abl selbst ein? Falls ja, werden bei dir die drei
Nein, ich war immer zufrieden mit fail2ban. Daher hab ich mir die Alternativen nicht genauer angesehen. regards, Christian -- :wq! -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (14)
-
Axel Birndt -
Boris -
Christian Brabandt -
Erik P. Roderwald -
Georg Schilling -
hamann.w@t-online.de -
Heinz Diehl -
Jan Handwerker -
Juergen Langowski -
Kasimir Müller -
Marko Käning -
Roman Fietze -
Sandy Drobic -
Ulrich Gehauf