Hi

Ich hab seit neustem ca 2 Wochen das so ein kleiner Bubbie versucht meinen mini-Server hier zuHause zu attackieren bzw zu übernehmen!

Ich wollte jetzt den Login begrenzen sprich z.B. 3 Versuche IP oder Benutzername gesperrt und die pty* ausschalten!

Ich bin nach dem Gentoo-Sicherheitsleitfaden vorgegangen jedoch lauft der Server mit Slackware und einige Dinge stimmen deswegen nicht!

z.B. /etc/securettys kann ich soviel wie ich will mit # oder ohne # trotzdem sind alle Terminals als root benutzbar!

limits.conf finde ich erst garnicht.

Hat jemand ein kleiner Hint wie ich das mit den 3 Loginversuchen dann IP ban/benutzersperre, Login nur als root nur local (also von dieser und jener IP aus) und die tty's wirklich beschränken kann?


Slackware 10.0

Schau mal hier: http://linux.newald.de/new_design/login_check.html

Hört sich gut an :)

Werds heute gleich mal testen muss aber erst Iptables einrichten hab keine FW auf den Kisten weil das Netzwerk mit ner Zywall 10 geschützt ist

Die Funktion des Skripts klingt ziemlich gut.
Leider will es bei mir nicht laufen.
Wenn ich es mit
./check_logins --daemon starte, bemängelt er, dass ein Verzeichnis (.check_ips) nicht vorhanden ist.
Also habe ich es angelegt.
Dann lässt es sich starten.
Der Pfad für iptables stimmt und die Mindestversionsanforderung für iptables und Perl ist auch erfüllt.
Aber wenn ich per ssh ein paar mal falsche Passworte eingebe, greift das Skript nicht.

Was mache ich falsch?

Hab das Script auch getestet!

Es blockt aber nicht wirklich optimal vielleicht liegts an meinen einstellungen? (Timeout = 7200 / Intervall = 1 - 60 durchgetestet / min_login = 3).

Man kann gut 10 Loginversuche durchspielen bis es überhaupt reagiert wird wohl daran liegen das es erst die Log auslesen muss und dann die Iptables verändern?

@Olleg

INPUT darf default nicht auf ACCEPT sein und der Pfad zur Log muss stimmen!

Bei mir war es /var/log/messages anstelle von /var/log/security (vorgabe im Script).

Danach lauft es!

Ich habe zwar selber nicht mit dem Problem zu kämpfen, bin aber heute auf planet.debian.org über einen Eintrag gestolpert, der für diesen Fall sicher interessant ist.

Mitigating against SSH brute force attacks using Netfilter and the recent module (http://blog.andrew.net.au/2005/02/17#ipt_recent_and_ssh_attacks)

Gruss

Jochen

Thx für den Link :)

Ich hab gerade in meine Log gesehen und siehe da?

Exakt 3 Loginversuche von dem Scriptkiddie und dann nix mehr :)

Gemacht:
Syslogd - Mehr Logs
SSH_conf - Kein Root Login
securetty - Alles bis auf tty1 gesperrt
Iptables - Alles bis auf 53, 22, 80 und 4662 gesperrt
Check_Logins (Timeout = 86400 Sek bzw 24 Stunden / Intervall 1 Sek / min_logins 3)

Per Lan kann ich bis zu 10 mal PWD's durchlassen per Inet z.B. über Proxy oder wenns ein Kollege versucht sinds exakt 3 Versuche dann ist er geblockt!

Funktioniert aber auch nur wenn ein gültiger Account angegriffen wird.

Sollte reichen als schutz?
Hab mich nie mit Iptables beschäftigt (Script hab ich von nem Generator und dann erweitert) aber ich denk das reicht für die meisten, hockt eh noch ne Zywall 10 vor dem Netzwerk!

Kennt jemand ne noobie freundliche IPTables Seite auf Deutsch?

In der Linkliste dieses Unterforums ist ein nettes Buch namens "Linux Firewalls - Ein praktischer Einstieg" verlinkt das Dir sicher weiterhilft...

mfg
cane