hi folks.

ich möchte meinen server von aussen per ssh login ereichbar machen.
da ich jedoch ein wenig angst vor brute force oder ähnlichen angriffen habe würde ich gerne einer ip/ einem host nach drei erfolglosen logins den zugang sperren.
gibt es mechanismen die das ermöglichen?

auf dem server läuft (noch) red hat 7.2 mit ipchains. ich plane jedoch update auf 8.0 und iptables.

moin moin

also zu dem ip sperren fällt mir auf anhieb nichts ein. aber wie wär's denn, wenn du auf die verwendung von paßwörtern ganz verzichtest?

PasswordAuthentication no

damit wird nur usern der zugriff gestattet, dessen ssh-key in der ~/.ssh/authorized_keys hinterlegt sind. allerdings bin ich mir jetzt nicht sicher, ob das ganze auch host bezogen ist.


Gruß HL

hi

ich nochmal ;)

snort kann das, was du möchtest. snort bietet die möglichkeit mittels react: block den zugriff zu blocken.

eine entsprechende rule könnte so aussehen:

alert tcp $HOME_NET 22 -> $EXTERNAL_NET any(msg:"SSH Bad Login"; content: "Login incorrect"; nocase; flags:A+; classtype:bad-unknown; sid:1251; rev:4; react: block;)


ps: das ist eine umgebaute telnet regel, möglich das sie noch etwas angepaßt werden muß


Gruß HL

hm...da ich mich von unterschiedlichen systemen einloggen will, ist denke ich die snort nummer am besten.
ich werde das mal probieren. snort läuft ja eh' auf meinem server. :)
danke soweit! :)

kann das mit snort überhaupt funktionieren?
ssh verschlüsselt ja die Verbindungen,
folglich kann snort nicht mitsniffen.

ich würde einfach starke Passwörter wie
-GjRk&4rjT§!
hernehemen, dagegen ist brute force
gegen deine dsl (??) anbindung machtlos,
ausßerdem macht ssh auch noch ein timeout.
ander möglichkeit ist root den zugang zu
ssh zu verbieten und als ein anderer user
per su zu root wecheseln. Dann müssen
drei dinge (username + passwort + rootpasswort)
gebrut forced werden, wobei das 1. und 2. auch
noch parallel geknackt werden müssen (das ist
bei einem nicht ganz offenslichtlichen usernamen
und starken Passwörter dann unmöglich).

Markus

moin


kann das mit snort überhaupt funktionieren? ssh verschlüsselt ja die Verbindungen, folglich kann snort nicht mitsniffen.

@msi

jo da hast du wohl recht, hab ich mal wieder gepostet ohne zu überlegen :rolleyes: snort fällt damit dann wohl aus.


Gruß HL

hm..schade. gut password als passwort scheidet aus. allerdings würde ich doch gerne auf nummer sicher gehen und die zahl der fehlversuche einschränken.
ist das evtl. über den ssh server möglich?

wenn du es so machst wie ich es geschrieben habe brauchst du dir keine
sorgen darüber zu machen gehackt zu werden.
dazu ist deine bandbreite viel zu klein!
weißt du wieviele Möglichkeiten es gibt um einen best. User mit einem best.
Passwort herauszufinden? Ein Brute Force auf dies (mit guten sicherem passworet und
schwererer username) ist UNMÖGLICH!!

Hallo ich weiß dieser Tread ist uralt aber er taucht leider sehr weit oben auf, wenn man einschlägig danach sucht.
Daher muss ich doch unbedingt das Wesentliche noch ergänzen, was hier noch nicht genannt wurde:

fail2ban (http://www.fail2ban.org/wiki/index.php/Main_Page)

Das ist das Mittel der Wahl, bzw. eines der Mittel.

Gruß und Verzeihung, aber das musste hier mit drauf!