PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH in externer Zone für Benutzer sperren



DigitalBastard
13.10.05, 02:54
Hallo!

Ich habe da ein kleines Problem, bei dem ich eure Hilfe beanspruchen müsste:

Folgendes: Ich gehe gemütlich meine Logs durch und plötzlich entdecke ich, dass schon seit einer Woche anscheinend jemand versucht sich über Bruteforce-Dictionary Angriffe per ssh auf meinen kleinen Server (SuSE 9.3) zu verbinden.

Der Server wird zum "Remote Internet surfen" verwendet.
Das heisst, die am ihm angeschlossenen Windows-Clients verbinden sich über "X-Live" mit angeschaltetem X-Forwarding per ssh auf eben diesen lokalen Server und gehen dann mit Firefox unter Linux ins Netz. Kann man sich so ähnlich vorstellen, als ob man sich mit einem Terminal-Server verbindet.

Damit ich administrativ darauf zugreifen kann, wurde der Zugriff auch von 'aussen' per ssh erlaubt.
Firewall ist aktiviert und erlaubt als einzigen Dienst in der externen Zone ssh.

Soweit sogut.

Mein Ziel ist es, dass _nur_ noch von aussen der User 'root' sich per ssh verbinden kann. Denn das rootpasswort ist dementsprechend sicher, die Benutzerpasswörter lassen zu wünschen übrig.
Es nützt mir auch nichts, den Benutzern einfach keine Login-Shell a la /bin/false zur Verfügung zu stellen, denn lokal wird dies ja gebraucht.

Meine Maßnahmen gegen den ungebetenen Gast waren bisher, dass ich den Standardport für SSH geändert und die MaxAuthTries auf 1 gesetzt habe.
Ist es auch möglich, nach einer bestimmten Anzahl von fehlgeschlagenen Versuchen die IP gänzlich zu blocken?

Für jede Antwort bzw. Vorschlag wie man dieses Problem (auch anders) lösen könnte bin ich sehr dankbar!

mfg
DigitalBastard

sirmoloch
13.10.05, 04:22
Das Thema wurde schon so oft besprochen, dass es langsam jeder wissen müsste.

Den Port zu ändern bringt auch relativ wenig, aber das wurde auch schon öfter besprochen. Hilfreicher wäre portknocking. Außerdem solltest du sichere Passwörter erzwingen - siehe cracklib.

BTW: Du willst root nicht erlauben sich direkt einzuloggen - hoffe ich jedenfalls. Logischerweise fällen damit direkt mehrere Hürden: Der Benutzername ist für die Attacke bekannt und man hat sofort sämtliche Rechte.

Suchbegriffe fürs Forum: AllowedUsers, AllowedGroups, PermitRootLogin (zum Thema sshd)
Und auf deinem Rechner: man sshd_config

bluesky666
13.10.05, 05:14
wie wäre es wenn Du einfach Passwort Login deaktivierst und nur per pubkey mit Passwort zuläßt, mache ich auch so bei meinen Kunden Server, so kommt keiner drauf der das Keyfile nicht hat und das PW weiß.

Gruß Helge