Hallo Allerseits.

Wie ich mir heute so eher zufällig meine /var/log/messages ansehe, finde ich 'tausende' Einträge die alle so aussahen:
Jan 12 13:42:39 mein-linux sshd[16352]: Invalid user bernard from 60.191.52.98
Nur mit dem Uterschied dass jedes mal ein anderer Name benutzt wurde.
Das Ganze schon seit Juli letzten Jahres (dementsprechend gross auch die messages Datei).
Habe ich einen ernsthaften Grund, mir Sorgen zu machen?
Kennt das einer von Euch?

Nutze OpenSuse 10.2 in RL3. SSH via Port22 - Zugang auch von aussen.

Gruß.
Markus...

Habe ich einen ernsthaften Grund, mir Sorgen zu machen?


Ja, aber nicht wegen der "Angreifer" sondern deshalb hier:



Nutze OpenSuse 10.2


http://en.opensuse.org/SUSE_Linux_Lifetime

Verstehe ich den Hinweis richtig, dass ich jetzt auf eine aktuelle Version updaten sollte?
Hätte ich dann das Angreifer Problem nicht mehr? Doch wohl eher nicht...

Ja, Du solltest updaten.
Das Angreifer-Problem wirst dadurch zwar auch nicht los, aber immerhin wirst dann noch mit aktuellen Paketen und/oder Bug-Fixes versorgt.
Zum Thema ssh absichern gibt es hier und anderswo im Netz schon mehr als genug.
Im Allgemeinen:
Authentifizierung per Key-File, Anderen Port als default (22), kein Root-Login, Sichere Benutzernamen/Passwörter und im Härte-Fall fail2ban o.ä.

Hätte ich dann das Angreifer Problem nicht mehr?

Dieses "Problem" ist das ganz normale "Untergrundrauschen", welches man auf Port 22 hat.

Bei einem sicher konfigurierten System (und dazu gehört eben auch, eine Distribution zu verwenden, die noch Sicherheitsupdates versorgt wird), ist das maximal lästig aber kein Problem.

Mein Vorposter hat ja zum Thema sicherer sshd schon einiges geschrieben.

Habe ich einen ernsthaften Grund, mir Sorgen zu machen?


Ja, denn du hast es erst nach einem halben Jahr entdeckt!

Ich benutze denyhosts (http://denyhosts.sourceforge.net/) dagegen, geht ganz gut!

Das Skript get durch deine security.log und sobald es x fehlschlagende Versuche findet, setzt es den host in die hosts.deny, so kann er auch nicht mehr mit derselben IP bei probieren anzuloggen. ;-)

Das Problem gibt es uebrigends bei allen Betriebssystemen die einen sshd haben, leider, und ein Patch aendert nichts. Gute passwoerter oder keys (viel besser, weil man da ganz schlecht reinkommt, aber wenn Du woanders bist, kommst du auch schlecht rein!!!) mit ssh ist natuerlich hilfreich, aber denyhosts ist meines erachtens die beste Loesung.

Der TE hat bereits schon vor 2 Jahren Authentifizierung per Key-File sich angeschaut, scheint also bereits im Einsatz zu sein.
http://www.linuxforen.de/forums/showthread.php?t=237423

Bedenklich finde ich das er mitte letzten Jahres zuletzt seine Logs gelesen hat.


Greeez Oli

Schieb den Port des Servers doch irgendwo anders hin. Klar nach einen Portscan geht das Problem von vorne los, aber so sieht man obs normales Hintergrundrauschen oder ein Angreifer ist...

Ivo

Vielen Dank für die vielen Tipps.

Ich wusste gar nicht, WIE sicher man den Zugang via SSH tatsächlich machen kann.
Beim googlen bin ich dann auf folgende Seite gestoßen:
http://www.debianhowto.de/doku.php/de:howtos:woody:ssh
Wer’s schon kennt; Naja egal.
Aber wer nicht; Mir hat die Seite sehr geholfen und ich denke ich bin jetzt deutlich besser gewappnet.

Nochmals danke.
Gruß.
Markeese…

http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.de.html#s5.1

Gruß,
gadget