Anzeige:
Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 15 von 17

Thema: SSH richtig konfigurieren

  1. #1
    Eremit
    Gast

    SSH richtig konfigurieren

    Hallo,

    auf meinem Server wird dauernd versucht sich per SSH einzuloggen.
    Momentan hält der Server noch und das Passwort wurde noch nicht erraten.

    sshd[16566]: User root from host5.b5.nw.com... not allowed because not listed in AllowUsers
    sshd[16566]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host5.b5.nw.com... user=root

    Nun möchte ich den Server aber weiter abdichten. Dabei möchte ich mich aber mit einem Passwort einloggen.

    a) nach 3 Verbindungsversuchen soll von dieser IP keine Verbindung mehr Möglich sein
    b) SSH soll sowieso nur zwischen 10 und 22 Uhr erreichbar sein. Vielleicht per cron regelbar?
    c) bei meinem Login erscheint immer folgende Meldung:
    Last login: Mon May 11 15:55:58 2009 from host-091-096-174-045.ewe-ip-backbone.de
    Kann ich nicht überhaupt Verbindungen nur von Ewetel zulassen bzw. in diesem Fall alles von *.ewe-ip-backbone.de?


    Hier meine sshd_config:
    Port 22
    Protocol 2
    HostKey /etc/ssh/ssh_host_rsa_key
    HostKey /etc/ssh/ssh_host_dsa_key
    UsePrivilegeSeparation yes
    KeyRegenerationInterval 3600
    ServerKeyBits 768
    SyslogFacility AUTH
    LogLevel INFO
    LoginGraceTime 30
    PermitRootLogin no
    StrictModes yes
    MaxAuthTries 2
    AllowUsers "username"
    MaxStartups 1:80:3
    #MaxStartups 1
    UseDNS no
    RSAAuthentication yes
    PubkeyAuthentication yes
    #AuthorizedKeysFile %h/.ssh/authorized_keys
    IgnoreRhosts yes
    # For this to work you will also need host keys in /etc/ssh_known_hosts
    RhostsRSAAuthentication no
    # similar for protocol version 2
    HostbasedAuthentication no
    # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
    IgnoreUserKnownHosts yes
    PermitEmptyPasswords no
    ChallengeResponseAuthentication no
    #PasswordAuthentication yes
    X11Forwarding no
    X11DisplayOffset 10
    PrintMotd no
    PrintLastLog yes
    TCPKeepAlive yes
    #UseLogin no
    Banner /etc/ssh/banner
    AcceptEnv LANG LC_*
    Subsystem sftp /usr/lib/openssh/sftp-server
    UsePAM yes


    Hoffe ihr könnt mir bei meinem Problem helfen.

    Gruß.

    Eremit

  2. #2
    Registrierter Benutzer Avatar von derRichard
    Registriert seit
    Nov 2001
    Beiträge
    5.069
    Zitat Zitat von Eremit Beitrag anzeigen
    a) nach 3 Verbindungsversuchen soll von dieser IP keine Verbindung mehr Möglich sein
    b) SSH soll sowieso nur zwischen 10 und 22 Uhr erreichbar sein. Vielleicht per cron regelbar?
    c) bei meinem Login erscheint immer folgende Meldung:
    Last login: Mon May 11 15:55:58 2009 from host-091-096-174-045.ewe-ip-backbone.de
    Kann ich nicht überhaupt Verbindungen nur von Ewetel zulassen bzw. in diesem Fall alles von *.ewe-ip-backbone.de?
    hi!

    zu a:
    das kannst mit fail2ban machen.
    zu b:
    iptables kann das. lass nur zwischen 10 und 22 uhr verbindungen zu port 22 zu.
    zu c:
    ebenfalls iptables oder hosts.allow.

    hth,
    //richard
    There are two factions of CS, the ones that hate computers, and the ones that hate science.

  3. #3
    kleine schwester von root Avatar von corresponder
    Registriert seit
    May 2002
    Ort
    192.67.198.56
    Beiträge
    4.578
    oder ändere einfach den port, dann ist es sicherer.
    weil standard anfragen ins leere laufen.


    gruss

    c.
    _______________________________________

    www.audio4linux.de - musik machen mit offenen quellen!

  4. #4
    Rain_maker
    Gast
    Zitat Zitat von Eremit Beitrag anzeigen
    auf meinem Server wird dauernd versucht sich per SSH einzuloggen.
    Und?

    "Hintergrundrauschen", der ganz normale Wahnsinn ....

    Zitat Zitat von Eremit Beitrag anzeigen
    Momentan hält der Server noch und das Passwort wurde noch nicht erraten.
    Passwort?

    Zitat Zitat von Eremit Beitrag anzeigen
    Nun möchte ich den Server aber weiter abdichten. Dabei möchte ich mich aber mit einem Passwort einloggen.
    Das widerspricht sich, Login mit keys ist nun mal sicherer, wenn Du einen weiteren Schutz willst, dann lege das Schlüsselpaar mit zusätzlicher Abfrage einer Passphrase für den Key selbst an.

    Port verlegen, fail2ban&Co. sind eher kosmetischer Natur, wenn schon, dann würde ich das Problem bei der Wurzel packen.

  5. #5
    Eremit
    Gast
    Hi,

    danke für die Antworten.
    Den Port ändern geht zwar aber es wird der Angreifer versucht auf vielen Ports eine Verbindung aufzubauen.
    Ich bin mir auch nicht sicher ob ich auf einem VServer einfach IPTables-Routen installieren kann. Daher auch meine Idee mit dem Cron.
    10 Uhr /etc/init.d/sshd start
    22 Uhr /etc/init.d/sshd stop

    Das mit der Hosts.allow sieht ganz interessant aus. Mal sehen ob ich da bestimmte Namensmuster zulassen kann. Die IP an sich ist ja dynamisch. Nur der "Zusatz" scheint immer der gleiche zu sein. Kann man eigentlich an ssh "rumtestesten" ohne sich selber auszuschließen wenn man immer noch eine Konsole auflässt?

    fail2ban werde ich mir gleich mal ansehen.

    Geändert:
    Die Keys wollte ich eben nicht benutzen, da ich mich von verschiedenen Rechnern aus einlogge aber immer mit dem gleichen Provider.

    Eremit

  6. #6
    Rain_maker
    Gast
    Zitat Zitat von Eremit Beitrag anzeigen
    Geändert:
    Die Keys wollte ich eben nicht benutzen, da ich mich von verschiedenen Rechnern aus einlogge
    Und wo ist das Problem? Key mit Passwort schützen und auf den besagten Kisten ablegen und/oder auf USB-Stick mitnehmen.

    (Geht für Windowskisten sogar mit einem portablen Putty.)

    Gegen Keylogger&Co. auf verseuchten Kisten schützt das natürlich auch nicht, aber das ist bei Passwörtern noch weniger der Fall.

    Zitat Zitat von Eremit Beitrag anzeigen
    aber immer mit dem gleichen Provider.
    Den Zusammenhang zum vorigen Halbsatz verstehe ich nicht.

  7. #7
    Linux auf Laptop nutzer Avatar von ThE_FiSh
    Registriert seit
    Jan 2005
    Beiträge
    826
    zur vollständigkeit sei noch das portknocking verfahren erwähnt
    http://de.wikipedia.org/wiki/Portknocking
    Is the audience listening?
    Wissen ist die (einzige) Ressource, die sich vermehrt, wenn sie geteilt wird!
    http://tinyurl.com/ln5njc

  8. #8
    Rain_maker
    Gast
    Jepp, wobei für alle diese Verfahren gilt, daß sie nur als Ergänzung zum eigentlichen Absichern (Key basierter Login ist IMHO die wichtigste Maßnahme) dienen können und die Gefahr des sich Ausperrens oder des Ausgesperrt Werdens (Gab da ein paar nette DoS-Angriffe auf fail2ban&Co. aufgrund einer Schwachstelle in der Auswertung von Logfiles, die solche Tools vornehmen) automatisch erhöhen.

    Mehr Code bedeutet automatisch mehr potentielle Fehler, nur reicht aber eben dummerweise ein Fehler unter Umständen schon aus um das ganze Konzept zu torpedieren.

    Ich selbst nutze auch Portknocking, aber wenn z.B. der Demon mal aus irgendeinem Grund rumspinnt/hängt/abschmiert, dann hat man sich erfolgreich ausgesperrt.

  9. #9
    Registrierter Benutzer Avatar von HirschHeisseIch
    Registriert seit
    Nov 2002
    Beiträge
    3.276
    Zitat Zitat von Eremit Beitrag anzeigen
    Den Port ändern geht zwar aber es wird der Angreifer versucht auf vielen Ports eine Verbindung aufzubauen.
    Unterdrückt aber ziemlich erfolgreich das Hintergrund-Rauschen am sshd.
    Zitat Zitat von Eremit Beitrag anzeigen
    Ich bin mir auch nicht sicher ob ich auf einem VServer einfach IPTables-Routen installieren kann. Daher auch meine Idee mit dem Cron.
    10 Uhr /etc/init.d/sshd start
    22 Uhr /etc/init.d/sshd stop
    Wieso solltest Du keine iptables-Regeln definieren können? Verstehe ich nicht...
    Cron würd natürlich auch gehen...
    RTFM you have to, young padawan.

  10. #10
    Registrierter Benutzer Avatar von derRichard
    Registriert seit
    Nov 2001
    Beiträge
    5.069
    Zitat Zitat von HirschHeisseIch Beitrag anzeigen
    Wieso solltest Du keine iptables-Regeln definieren können? Verstehe ich nicht...
    vserver haben oft einen shared-kernel, da kann man nicht einfach so die iptables-module laden oder regeln anwenden.

    //richard
    There are two factions of CS, the ones that hate computers, and the ones that hate science.

  11. #11
    Registrierter Benutzer Avatar von HirschHeisseIch
    Registriert seit
    Nov 2002
    Beiträge
    3.276
    Echt?
    Ich dachte bis dato, das sind autarke, virtualisierte Systeme... Man lernt eben nie aus...
    RTFM you have to, young padawan.

  12. #12
    Registrierter Benutzer
    Registriert seit
    Jul 2003
    Ort
    Weilheim
    Beiträge
    132
    Ich wär Vorsichtig mit dem stoppen des sshd per Cronscript.

    Es dürfte nicht lange dauern und du arbeitest an nem akuten Problem und überschreitest die Uhrzeit, dann wird dir die Session unter dem Hintern weggeschossen.

    Im Eifer des Gefechtes vergisst man solche Einstellungen schon mal.

    Ein gewissen Hintergrundrauschen ist normal - alle dienste, die im Web angeboten werden stehen nahezu dauernd unter Angriffsversuchen, nicht nur der sshd. Wenn du alles gut abgesichert hast, kannst du nur hoffen, dass die von dir verwendete SW keinen akuten Bug enthält.

    Ums kurz zu machen - sichere dein System gut ab. Bringe nur Dienste online, die du verstanden hast und überleg dir vorher ein vernünftiges Sicherungskonzept. Mehr kannst du nicht tun - es sei denn du beschäftigst dich mit dem Quellcode.
    Die ersten Worte des Admin Babys?

    "Hello World"

  13. #13
    Registrierter Benutzer Avatar von derRichard
    Registriert seit
    Nov 2001
    Beiträge
    5.069
    Zitat Zitat von HirschHeisseIch Beitrag anzeigen
    Echt?
    Ich dachte bis dato, das sind autarke, virtualisierte Systeme... Man lernt eben nie aus...
    wir reden hier von crap-vservern, die sind meist nur ein besseres chroot() mit uid-mappern.
    kein xen, vmware, hyperv, ...

    //richard
    There are two factions of CS, the ones that hate computers, and the ones that hate science.

  14. #14
    Registrierter Benutzer
    Registriert seit
    May 2001
    Ort
    Berlin
    Beiträge
    870
    "Key basierter Login ist IMHO die wichtigste Maßnahme"
    Das geht auch noch besser mit OTP. YMMV

    Ich selbst nutze auch Portknocking, aber wenn z.B. der Demon mal aus irgendeinem Grund rumspinnt/hängt/abschmiert, dann hat man sich erfolgreich ausgesperrt.
    Dazu kann man z.B. cron jede Stunde einen check machen lassen.

    Knockdemon? Perl als root? Ich hatte mir mal ueberlegt, dass die User eine Mail mit X Schluesselbegriffen senden und dann erst der SSH Port randomisiert aufgemacht wird.
    Frage ist ob der Aufwand sich lohnt, solange man das Management Interface hat.

    Gruss
    403
    ls ~-

  15. #15
    Solarmarschall Avatar von BedriddenTech
    Registriert seit
    Jul 2002
    Ort
    Monsheim bei Worms a. Rhein
    Beiträge
    1.461
    Zitat Zitat von FLOST Beitrag anzeigen
    Es dürfte nicht lange dauern und du arbeitest an nem akuten Problem und überschreitest die Uhrzeit, dann wird dir die Session unter dem Hintern weggeschossen.

    Im Eifer des Gefechtes vergisst man solche Einstellungen schon mal.
    Kill mal den sshd während Du angemeldet bist -- Du bist weiter angemeldet. Den sshd alleien zu beenden (mehr machen die meisten Initskripts nicht) ist kein Problem. "service sshd restart" u. ä. gehen auch in einer SSH-Session.
    Please, please spam me! bedriddentech@web.de -- oh please, spam bedriddentech@web.de
    Thanks, dear spam bots for training my spam filter. :D

Ähnliche Themen

  1. Postfix richtig konfigurieren
    Von Eremit im Forum Linux als Server
    Antworten: 16
    Letzter Beitrag: 18.08.08, 08:12
  2. linux als ts server runlevel richtig konfigurieren
    Von bjoern1980 im Forum Linux als Server
    Antworten: 1
    Letzter Beitrag: 04.09.07, 15:19
  3. SSH konfigurieren
    Von B34n im Forum Linux als Server
    Antworten: 4
    Letzter Beitrag: 20.04.04, 11:25
  4. ucdsnmpd richtig konfigurieren !?!
    Von steve-bracket im Forum Linux als Server
    Antworten: 12
    Letzter Beitrag: 13.05.03, 20:58
  5. Proxy für CVS richtig konfigurieren
    Von Wastl im Forum System installieren und konfigurieren
    Antworten: 1
    Letzter Beitrag: 05.05.03, 21:44

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •