PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH-Server IP-Sperren?



oafish
24.01.06, 14:22
Hi,
für Kunden habe ich einen SSH-Server installiert. Da jeden morgen hunderte von fehlgeschlagenen Loginversuchen im Log sind, suchte ich nach einer Lösung. Am liebsten wäre mir gewesen, wenn nach 2 fehlgeschlagenen Loginversuche eine Sperre von 10 Minuten.
Das MaxAuthTries beim SSH-Server funktioniert bei mir leider nicht. Kommt diese Fehlermeldung: Bad configuration option: MaxAuthTries

Weiß jemand wie man sowas einfach umsetzen kann?

oafish

Sebastian Henrich
24.01.06, 14:42
Für die Option "MaxAuthTries" wird mindestens ein OpenSSH in der Version 3.8 benötigt. Eventuell hilft dir also ein Update.

Gruß
Sebastian

grimse
24.01.06, 16:12
die verwendung eines anderen als den standard ssh-port (22) wirkt bei skriptgestützten bruteforce-angriffen wunder. wenn praktikabel solltest du auf dem system die passwort-authentifizierung gegen schlüssel austauschen. eine kombination aus beidem ist eine gute sache.

gruss, grimse

kesk
24.01.06, 16:33
Das sollte mit Sshdfilter (http://www.csc.liv.ac.uk/~greg/sshdfilter/) machbar sein.

Sshdfilter ist ein wrapper für sshd. Er startet sshd mit den Optionen -e und -D und liest die authentifizierungs Versuche direkt vom stderr. Bei mehreren fehlgeschlagenen authentifizierungs Versuchen macht er einen Eintrag in die Firewall:



iptables -A SSHD $interface -p tcp -s $ip --dport 22 -j DROP


Nach einer konfigurierbaren Zeitspanne wird dieser gelöscht.

Das einzig schwierige ist die Installation. Es müssen Veränderungen am SSH init Script und der Firewall vorgenommen werden. Sshdfilter (Version 1.3.5) unterstützt Debian 3.1 Redhat 7.3 und Fedora FC1. Bei anderen Distributionen müssten einige manuelle Veränderungen vorgenommen werden schätze ich.

mianos
24.01.06, 17:10
ich kenne zwar sshdfilter nicht, aber fail2ban macht nix anderes!
is noch dazu wirklcih sehr sehr kinderleicht einzurichten!

fail2band schickt dir sogar ne mail wenn das jemand zu oft probiert!
seid ich das hab sind die logs am rootserver so schön klein...:D

ausserdem kann fail2ban auch noch andere dienste checken - er macht das auch über die logs unt mittels iptables!

sandro123
24.01.06, 23:33
check mal denyhost, das funktioniert wirklich gut.

http://denyhosts.sourceforge.net/

Ciao
Alessandro

oafish
25.01.06, 09:53
Hi,
ich verwende OpenSSH 3.8.1p1 Debian Sarge. Leider funktioniert das MaxAuthTries nicht. Die anderen Lösungen sind zwar gut, aber ich kann beispielsweise kein Python auf diesen Maschinen installieren. Da sind mir einfach die Hände gebunden.

Vielleicht hat noch jemand einen Tipp

Grüßle

oafish

Tomek
25.01.06, 10:01
Auf backports.org findest du OpenSSH 4.2p1-Pakete für Debian Sarge:
http://www.backports.org/debian/pool/main/o/openssh/