RootForum Community

Hallo!

seit dem ich einen Root-Server bei Hetzner hab, wird täglich mehrmals versucht, einen Zugang per SSH zum Server zu bekommen.
Ich habe zwar SSHD so konfiguriert, dass nur Logins per DSA Schlüssel möglich ist, und eigentlich nichts von der Seite zu befürchten hab, finde ich es trotzdem sehr lästig.
Vor allem die Logfiles sind voll mit solchen einträgen so dass ich womöglich andere wichtige Einträge übersehe :(

Lange Rede, kurzer Sinn:
meine Frage ist: kann man SSHD (oder vielleicht iptables) irgendwie beibringen, dass nach einer bestimmter Anzahl von fehlerhaften Loginversuchen, die IP für die nächsten 24 Stunden gesperrt wird?
Oder gibt es auch andere gute Methoden, sich vor solchen Scriptkiddies zu währen?

Danke!
flywalker

Einfach mal die Forensuche bemühen, das gabs hier schon dutzende Male.
Fail2ban hilft dir sicherlich weiter, ansonsten SSH auf einen anderen Port verlegen schützt ebenfalls vor den automatisierten Angriffen.

das erste mal die suche nicht benutzt und schon rächt sich das :)
ich such dan mal...

Im aktuellen Linux-Magazin (4/07) ist ein netter Artikel dazu, wie man iptables dafür einspannen kann. Ansonsten sei Dir http://denyhosts.sourceforge.net/ ans Herz gelegt.

Danke!
das klingt ja sehr gut
werd mir am wochenende mal genauer anschauen

Mein Tipp: :!: http://www.fail2ban.org
Da gibts ein nettes kleines Pgramm, bei dem man definiert wieviele falsche Logingversuche per SSH, FTP, HTTP und E-Mail möglich sein sollen und danach wird die entsprechende IP Adresse für eine einstellbare Zeit an Sekunden mit iptables gesperrt.
Funktioniert bei mir wunderbar und seit dem ist Schluss mit den tausenden von fehlgeschlagenen Loginversuchen in den Logdateien.

flywalker wrote: Vor allem die Logfiles sind voll mit solchen einträgen

Code: Select all

sshd[15292]: Invalid user heidi from 87.24.201.21

Ein vereinbartes Klopfzeichen an die Tür und schon wird diese nur für Dich geöffnen. Für alle anderen und ungewollten bleibt die Tür geschlossen. Diese sehen noch nicht einmal, dass es solch eine Tür gibt.

Aus Deinen oben genannten Gründen setze ich erfolgreich Portknocking ein. Das geht besonders gut für den ssh Port, da dieser sowieso nicht von vielen benutzt werden soll.

Also ich bin absolut zufrieden mit fail2ban.
Nach x festgelegten falschen Loginversuchen wird die IP mit den falschen logins für eine vordefinierte Zeit gesperrt. Und das auch bei SHH, FTP und email
Ich finde daran nichts schlechtes und meine Logdateien sind leer mit den Einbruchversuchen.
Wenn man die Sperrung auf 10 falsche Logins und 10 Minuten legt, dann ist das eine überschaubare Zeit und für eine bruteforce attacke sind 10 Versuche in 10 Minuten nicht viel...

Eine authkey Anmeldung für FTP und SMTP? Naja, wenn das mal geht, aber meine Kunden machen sowas mit Sicherheit nicht... ;-)
Die Passwörter sind lang und kompliziert genug, daran solls nicht liegen! Wenn die automatisierten Programme merken das die IP Adresse mehr erreichbar ist, dann wird der Einbruchversich auch schnell wieder beendet.

Also ich habe in den letzten Monaten bisher nichts schlechtes an fail2ban gefunden. Funktioniert wunderbar und ohen Zwischenfälle...
Sicher ein 100% Schutz ist es nicht, aber mit 10 Versuchen in 10 Minuten braucht man verdammt lange bis man millionen von Kombinationen ausprobiert hat. :-D

Um etwas abzusichern, was ohnehin schon hoch sicher konfiguriert sein könnte, muss man sich doch kein potenielles risiko auf den Rechner holen.

Das es sicher ist, daran habe ich keine Zweifel...
Aber wenn man ab und zu in /var/log/messages was sucht und von -zig tausenden falschen Loginversuchen überannt wirt, dann machts keinen Spaß mehr. Auch wenn die Platte dadurch nicht unbedingt innerhalb ein paar Tagen überläuft.
Aber gut gesagt, warum sicher einer potentiellen Gefahr tausenfach täglich aussetzten wenn man das doch minimieren kann. Das fail2ban eine Gefahr in sich selbst bringt kann nicht sein. Wie denn auch? Das Programm liest Logeinträge und dem enstprechend setzt es DENY Einträge mit iptables. Sehr grosses Risiko! ;-)

Wer sein Passwort nach 10 Versuchen noch nicht wieder weis, der hat dann nochmal 10 Minuten Zeit zum nachdenken und darf dann wieder 10 mal probieren... Ist doch fair ;-)

Es ist kaum eine Schwierigkeit Deinem System eine Anfrage mit gefakter IP Adresse zu senden. Die antwort interesiert mich nicht. Lange genug durchgespielt, ist Dein System Weltweit nicht erreichbar

Es sperrt 10 Minuten nach 10 falschen Logins.
WIe willst du in 10 Minuten alle weltweit verfügbaren IP Adessen durchspielen? Naja, jetzt übertreibs mal nicht....

Wenn ich es ganz sicher haben will, dann nehme ich den Rechner vom Netz

matzewe01 wrote: Und wehe es hängt irgendwann mal der Portknocking Dienst. Dann hilft auch keine Brechstange mehr.

Ich dachte Brechstangen verwenden nur die Bösen :-)
Warum sollte der knockd vor dem sshd abtauchen?
Erlebt habe ich das noch NIE. Abgesehen davon weiß ich, dass ich auch wenn diese Unwahrscheinlichkeit eintreten sollte, wie ich an den Rechner per ssh komme auch wenn nmap keine offene Tür findet.

Abgeshen davon nutze ich nebenbei ein tool das ähnliche Funktionen aber noch viel mehr als fail2ban zur Verfüguung stellt. Häufig unerwünschte ssh Zugriffe automatisch zu sperren, sind da inklusive - auch per iptable. Das empfehlenswerte Ding heißt ossec http://www.ossec.net/
Ossec kontrolliert Logfiles nach konfigurierbaren Regeln. Wenn z.B. einer immer wieder nach phpmyadmin ganze Netze durchkämmt oder Wörterbuchattacken auff ssh oder andere Ports kommen, dann weiß ossec was zu tun ist. Es ist ein HIDS.

tomotom wrote:Häufig unerwünschte ssh Zugriffe automatisch zu sperren, sind da inklusive - auch per iptable.

Richtig, warum den Server mit Anfragen bombardieren, wenn ein iptables mit 12178256812 Deny-Einträgen mit jeder Anfrage erstmal diese durchkämen muss. Soetwas erleichtert jede DoS-Attacke und Sicherheit gewinnst du dadurch auch nicht.

tomotom wrote:Ossec kontrolliert Logfiles nach konfigurierbaren Regeln.

Cool, was für ein Feature... SCNR!

tomotom wrote:Wenn z.B. einer immer wieder nach phpmyadmin ganze Netze durchkämmt

Ja... und, was interessiert mich das?

tomotom wrote:oder Wörterbuchattacken auff ssh

Ok, wenn dein Passwort "apfel" lautet, nützt dir weder fail2ban noch sonst etwas... es gibt soetwas, das nennt sich Proxy. Wenn du keine feste IP hast, reichen 2 Sekunden und du hast eine neue. Mit Zombie-Rechnern eine nette Sache und fail2ban reisst deine Performance unnötig runter.

tomotom wrote:oder andere Ports kommen

Interessiert mich genauso wenig. Soll er doch auf die Ports drauf, wenn da nichts ist, ist das für den "Angreifer" eine Sackgasse.

tomotom wrote:dann weiß ossec was zu tun ist.

Aha, und das wäre? iptables mit sinnlosen "Wegwerf"-IPAdressen zu bombardieren?

Gruß
dtdesign

dtdesign wrote: Richtig, warum den Server mit Anfragen bombardieren, wenn ein iptables mit 12178256812 Deny-Einträgen mit jeder Anfrage erstmal diese durchkämen muss. Soetwas erleichtert jede DoS-Attacke und Sicherheit gewinnst du dadurch auch nicht.[

Deswwegen ist ja kein Port offen und sollte, er geöffent werden dann gibt es den Türwächter.
ossec ist ein HIDS wei bereits erwähnt. Ob man das nun gut findet oder nicht und ob man damit massive iptable Regeln erstellen läßt eine Frage der Konfiguration. Es ist eine gute Alternative zu fail2ban, wenn man auf so etwas steht und ich kann es nur empfehlen. Ich nutze es in erster Linie zur Logfileanalyse da ich so über außergewöhnliches automatisch informiert werde, was mich nicht daran hindert selber in die Logs zu sehen usw.

So jetzt ist aber schluss mit dem Gezanke! Und hilf mir besser mal in die iptables Frage :-D

matzewe01 wrote: erstens zankt sich keiner,

Deswegen war da auch ein :-D

matzewe01 wrote: 2. Warum sollte knockd stabiler laufen als alle andere Dienste?

Das glaube ich auch nicht, dass er stabiler läuft, aber eben so stabil. Das ist meine Erfahrung.

matzewe01 wrote: Speicher mag ja vieleicht mal auf dem Server ausgehen, dann weiss nur Gott, welchen dienst es als erstes packt.

Eben und es spricht nicht viel dafür, dass es gerade der knockd sein soll.

matzewe01 wrote: Wenn ich fail2ban umgehen will, setzte ich mich einfach nur an einen AOL Hotspot und habe mit jedem Request eine neue IP Adresse.

Ist das so? Ich kann es glaube, würde es aber gerne mal sehen.

Aber auch von AOL aus hast Du keine große Chance bei dem knockd. Jedenfass hast Du mit knockd viele Logeinträge weniger und keine zusätzliche Serverlast wie bei fail2ban oder ähnlichen iptable Eingriffen.