Re: sshd konfigurieren

Hallo, Jens,

Du meintest am 01.02.09:

öfters sehe ich auf meinem Uni-Rechner in /var/log/messages Meldungen
wie

Jan 20 11:57:43 xxxx0 sshd[5527]: Invalid user user1 from
xxx.xxx.xxx.xxx
Jan 20 11:57:45 xxxx0 sshd[5529]: Invalid user sybase from
xxx.xxx.xxx.xxx
Jan 20 11:57:46 xxxx0 sshd[5531]: Invalid user jabber from
xxx.xxx.xxx.xxx

[...]

Offenbar versucht jemand von einer bestimmten IP-Adresse sich mit
allen möglichen User-Namen einzuloggen. Ich kam auf die Idee, ob man
nicht dem sshd beibringen kann, nach einer gewissen Zahl von login
attempts von einer IP-Adresse diese sperren kann. Hab aber dazu
nichts gefunden. Geht das irgendwie? Oder ist meine Idee blöd?

Nicht beim SSH-Dämon, sondern (falls Du darauf zugreifen kannst) per
"iptables":

WAN=ppp+ eth1
IPTABLES_BIN=/usr/sbin/iptables
# diese beiden Variablen sind anzupassen

for Interf in $WAN; do
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
-m recent --set --name SSH
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
-m recent --rcheck --seconds 60 --hitcount 4 --rttl --name SSH \
-j REJECT --reject-with tcp-reset
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
-j ACCEPT
done

# Florian Frank in der "linuxmuster"-Mailingliste, 17. Sept. 2005
# pro Absender-IP max. 3 Verbindungsanfragen pro Minute; blockt Skript-Kiddies
# "rcheck" statt "update": Sven Geggus, 22. Sept. 05,
# de.comp.os.unix.networking.misc

------------------------------------

Das Problem gehört zu den Dauerbrennern; andere Empfehlungen laufen auf
"security by obscurity" hinaus (SSH auf anderen Port legen) oder auf
weiteren technischen Aufwand (Zugang nur per - zusätzlich zu
verwahrendem - Schlüssel).

Was sich allemal zusätzlich lohnt, ist (in der Datei "/etc/ssh/
sshd_config") der Eintrag

PermitRootLogin without-password

Dann kann "root" sich nicht direkt per Passwort einloggen, sondern wer
als "root" arbeiten will, muss sich erst als sonstiger User (per SSH)
einloggen und dann per "su -" "root" werden.

Damit erspare ich mir das Schlüssel-Geraffel.

Ach ja - ich bin es gewohnt, dass Leute, die Hilfe von mir haben
wollen, mir auch ihren richtigen Namen nennen. Einzig bei
Kindergarten-Kindern habe ich Verständnis dafür, wenn sie nur ihren
Vornamen kennen.

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".

.

Relevant Pages

  • Re: sshd konfigurieren
    ... Ich kam auf die Idee, ... nach einer gewissen Zahl von login ... attempts von einer IP-Adresse diese sperren kann. ...
    (de.comp.os.unix.linux.misc)
  • Re: sshd konfigurieren
    ... Ich kam auf die Idee, ... nach einer gewissen Zahl von login attempts von ... einer IP-Adresse diese sperren kann. ...
    (de.comp.os.unix.linux.misc)
  • Re: sshd konfigurieren
    ... Offenbar versucht jemand von einer bestimmten IP-Adresse sich mit allen ... Ich kam auf die Idee, ... nach einer gewissen Zahl von login attempts von ... einer IP-Adresse diese sperren kann. ...
    (de.comp.os.unix.linux.misc)
  • sshd konfigurieren
    ... Offenbar versucht jemand von einer bestimmten IP-Adresse sich mit allen ... Ich kam auf die Idee, ... nach einer gewissen Zahl von login attempts von ... einer IP-Adresse diese sperren kann. ...
    (de.comp.os.unix.linux.misc)
  • Re: Suche Adapter (VGA to USB?)
    ... sich über SSH nicht bewerkstelligen), ... Monitorbild in einem Fenster unter X anzuschauen. ... Gibt es sowas, oder hat jemand ne andere Idee, die nicht auf das ...
    (de.comp.os.unix.linux.hardware)