symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
SSH-Dictionary-Attacken vermeiden mit DenyHosts
Veröffentlicht durch Ventilator am Sonntag 19. Februar 2006, 20:56
Aus der wie-macht-man Abteilung
Security Falko Timme schreibt: "In diesem Tutorial beschreibe ich, wie man DenyHosts installiert und konfiguriert. DenyHosts ist ein Programm, das SSH-Login-Versuche überwacht; wenn es fehlgeschlagene Login-Versuche feststellt, die immer und immer wieder von derselben IP-Adresse kommen, blockt DenyHosts weitere Login-Versuche, indem die IP-Adresse in /etc/hosts.deny gespeichert wird. Auf diese Weise lassen sich SSH-Dictionary-Attacken verhindern.
DenyHosts kann als Cron-Job oder als Daemon laufen. In diesem Tutorial installiere ich DenyHosts als Daemon."

Entwicklung von ReactOS geht weiter | Druckausgabe | Krugle: Codesuchmaschine für Programmierer  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Falko Timme
  • diesem Tutorial
  • Mehr zu Security
  • Auch von Ventilator
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    fail2ban (Score:0)
    Von Anonymer Feigling am Sunday 19. February 2006, 21:19 MEW (#1)
    ich setze immer das python tool "fail2ban ein ... ist ne alternative ;) arbeitet einfach per "route reject" ;)
    Re: fail2ban (Score:0)
    Von Anonymer Feigling am Monday 20. February 2006, 18:10 MEW (#18)
    Jupp, fail2ban setzen wir hier auch ein. Ist schmerzlos aufzusetzen und funktioniert auch gut, wenn schon andere Firewall-Regeln vorhanden sind.
    Oder iptables (Score:2)
    Von Obri am Sunday 19. February 2006, 22:27 MEW (#2)
    (User #466 Info) http://www.aubry.li
    iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
    --
    Bahnübergänge sind die härtesten Drogen der Welt.
    Ein Zug und du bist weg!
    Re: Oder iptables MIT KRFILTER (Score:0)
    Von Anonymer Feigling am Monday 20. February 2006, 07:05 MEW (#6)
    Den IPtables Dropper verwende ich auch schon seit längerer Zeit sehr erfolgreich. Die vereinzelten SSH Attacken stammen jetzt meistens aus Polen, weil ich zusätzlich den KRFILTER von http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index-e.jsp eingerichtet habe. Früher waren es Tausende einzelne Loginversuche pro Tag, mit dem Chinesenfilter sind es nur noch 2-3!! Ich hatte einfach keine Lust mehr auf den Müll im Log, und Leser/Kunden/Hacker aus Asien brauchen wir sowieso keine auf unseren Servern. Es gibt auch noch eine ganz coole Lösung mit IPTABLES, bei der man zuerst anklopfen (http://en.wikipedia.org/wiki/Port_knocking) muss, finde ich auch recht elegant. http://www.debian-administration.org/articles/268 Dabei sollte man darauf achten, dass man die Ports nicht auf Portsentry-Ports legt, falls es installiert ist :-)
    Re: Oder iptables (Score:1)
    Von mkr (root.NO@SPAM.mkr-tech.ch) am Monday 20. February 2006, 07:46 MEW (#7)
    (User #1294 Info) http://www.mkr-tech.ch
    Mit diesen Rules sperrst Du Dich selbst aus, wenn Du SCP verwendest. SCP öffnet für jede Datei eine neue Verbindung.
    Bin mit Denyhosts sehr zufrieden (Score:1)
    Von RipClaw am Sunday 19. February 2006, 23:09 MEW (#3)
    (User #1227 Info)
    Ich verwende Denyhosts seit 2-3 Wochen und bin damit sehr zufrieden.

    Da lediglich die hosts.deny benutzt wird kann man es auch problemlos auf vservern einsetzen, auf denen man weder mit iptables noch mit route arbeiten kann.

    titel (Score:2, Tiefsinnig)
    Von stamp am Monday 20. February 2006, 00:49 MEW (#4)
    (User #501 Info)
    es wäre weitaus korrekter, von einer erschwerung zu reden - gegen ein botnetz hat diese lösung keine chance.

    ihr seid alles kranke kinder --- www.zooomclan.org
    Kleiner Haken (DYN IP), selten aber zu bedenken. (Score:0)
    Von Anonymer Feigling am Monday 20. February 2006, 02:43 MEW (#5)
    Die meisten von uns benutzen einen Provider,
    der uns jeweils nur eine dynamische IP zuweisst,

    es ist also durchaus möglich, dass sollte
    der Angriff über einen oder mehrere Bots
    erfolgen, welche bei dem gleichen Provider sind,
    kann es also sein, dass man sich selbst aussperrt,

    man kann einen ähnlichen Effekt auch beobachten,
    wenn man wie ich via t-online/reseller online
    geht, und sich in dem Moment den Incomming-Traffic anguckt,

    ganz selten aber immer noch Blaster und Konsorten
    (Abstand 5-20 min)

    jedoch hämmern im 0,3 Sekundentakt Anfragen von
    Emule-Clients ein, dass ist wie ein kräftiger
    Sommerregen, und der Witz ist, dass lässt auch nach einer Stunde nicht nach.

    Andere Port settings (Score:2)
    Von micressor am Monday 20. February 2006, 08:24 MEW (#8)
    (User #1100 Info) http://web.swissjabber.ch
    sshd generell auf einen ganz anderen Port als 22 setzen. Zudem eine IP Adresse verwenden, welche möglichst nirgends im DNS steht.
    /maba
    Re: Andere Port settings (Score:0)
    Von Anonymer Feigling am Monday 20. February 2006, 10:21 MEW (#10)
    Zum Beispiel 127.89.123.14?
    Re: Andere Port settings (Score:1)
    Von duke am Monday 20. February 2006, 11:26 MEW (#12)
    (User #490 Info)
    bis einer mit amap kommt....
    Re: Andere Port settings (Score:2)
    Von Seegras am Monday 20. February 2006, 13:01 MEW (#13)
    (User #30 Info) http://www.discordia.ch
    Zudem eine IP Adresse verwenden, welche möglichst nirgends im DNS steht.

    Bogus. Jede IP die benutzt wird soll gefälligst vorwärts wie rückwärts auflösen. Und ausserdem ist das wenn sie es nicht tut eine sichere Methode um zu verhindern dass andere Server Mail von einem akzeptieren oder auch IRC-Server einem nicht reinlassen. Und das zu recht.

    Tut ich auch, mir schickt so eine Schweinerei die nicht auflöst weder Mail noch darf die den IRC-Server benutzen.

    -- "The more prohibitions there are, The poorer the people will be" -- Lao Tse
    Re: Andere Port settings (Score:0)
    Von Anonymer Feigling am Monday 20. February 2006, 17:38 MEW (#17)
    Na ja, ich glaube es gibt sehr viele Rechner auf der Welt die weder IRC noch Mail brauchen. Letzteres wird ja meist auch nur fuer Logs oder evtl. Alerts missbraucht. Das kann man genauso gut per SSH oder was auch immer loesen. Dann liest auch das BKA nicht mit.
    Wieder so eine üble Lösung? (Score:2)
    Von brummfondel am Monday 20. February 2006, 10:05 MEW (#9)
    (User #784 Info)
    Warum werden da immer wieder Scripte gehackt, wenn es da ein PAM-Modul für gibt:
    http://www.hexten.net/pam_abl/

    --
    ok> boot net - install
    Einfach ssh-key verwenden und PAM abschalten... (Score:1)
    Von PCrazee am Monday 20. February 2006, 11:07 MEW (#11)
    (User #1649 Info) http://pcrazee.digitald0pe.de
    ...am besten noch AllowUsers setzen, dann kann man noch so viele dictionaries verwenden, mir gehts dann am A**** vorbei! ;)
    Re: Einfach ssh-key verwenden und PAM abschalten.. (Score:2)
    Von brummfondel am Monday 20. February 2006, 16:01 MEW (#14)
    (User #784 Info)
    Ist nur nicht sehr hilfreich für den berümten "Internet-Cafe-Fall", oder willst du da deinen USB-Stick mit Key mitschleppen? Und dann? Den Key etwa auf den Rechner kopieren??

    --
    ok> boot net - install
    Re: Einfach ssh-key verwenden und PAM abschalten.. (Score:0)
    Von Anonymer Feigling am Monday 20. February 2006, 17:34 MEW (#16)
    Im Internet-Cafe findest du sowieso keinen vertrauenswuerdigen Endpunkt. Selbst wenn du OPIE nutzen wuerdest, koennte der Host nach dem Login machen, was er will bzw. was dein Account zulaesst.
    Ok, bei einem extrem eingeschraenkten Account kann das sinnvoll sein. Ansonsten musst du sowieso deinen PDA oder Laptop nutzen und kannst dann damit ins Internet-Cafe gehen oder einen sonstigen Access-Point nutzen.

    Ich finde Keys eh nicht wirklich toll. Wenn ich die immer mit mir herumschleppe empfinde ich die Gefahr, dass sie in falsche Haende geraten eher hoeher ein als normal. Allerdings kann ich auch gut darauf verzichten mich von ausserhalb zuhause einzuloggen.
    Re: Einfach ssh-key verwenden und PAM abschalten.. (Score:2)
    Von brummfondel am Monday 20. February 2006, 18:54 MEW (#19)
    (User #784 Info)
    Tja, das ist der Unterschied zur beruflichen Nutzung. Da kann es durchaus mal nötig sein, sich über I-Cafe zu melden. Ok, ist die Ausnahme, aber Gründe gäbe es da schon.


    --
    ok> boot net - install
    Re: Einfach ssh-key verwenden und PAM abschalten.. (Score:0)
    Von Anonymer Feigling am Monday 20. February 2006, 20:00 MEW (#20)
    Jo, aber gerade wenn es um berufliche Daten geht, wuerde ich mich sicher nicht an einem nicht vertrauenswuerdigen Geraet einloggen.
    Noch 'ne Alternative (NetBSD, IPfilter) (Score:1)
    Von hubertf am Monday 20. February 2006, 17:02 MEW (#15)
    (User #285 Info) http://www.feyrer.de/
    ... ist hier beschrieben.


    - Hubert

    Re: Noch 'ne Alternative (NetBSD, IPfilter) (Score:0)
    Von Anonymer Feigling am Monday 20. February 2006, 21:02 MEW (#21)
    Ich freue mich drauf, wenn Leute ips spoofen, dann viel spaß mit denyhosts :)

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen