sshd.conf

[schlozy]

Hi,
ich habe mal vor ein paar Tagen logwatch auf unseren Webserver installiert.
Jetzt bekomme ich einen schönen auszug von den logdateien.
Jetzt fällt mir natürlich auf, dass es immerwieder leute versuchen über ssh sich einzuloggen.
Es sollen sich aber von extern nur 2 benutzer anmelden können. Kann man in der sshd.conf das einstellen, wer sich von extern anmelden darf und wer von intern?

Kann man den liginversuch direkt blocken, wenn der falsche benutzername angeben wird?
Kann man die Passwörter, die veruscht werden auch irgendwo speichern, mit der Uhrzeit?

So, das reicht ersteinmal.
Hier mal ein auszug von logwatch:

Code:

 Failed logins from these:
    61.181.69.122: 1 time
       root/password: 1 time
    81.104.46.185 (cpc3-swin3-3-0-cust185.brhm.cable.ntl.com): 1 time
       root/password: 1 time
    210.0.142.182: 3 times
       root/password: 3 times
    213.218.119.100 (bnc100.gamesnet.pl): 13 times
       root/password: 12 times
       lp/password: 1 time
 
 Illegal users from these:
    210.0.142.182: 6 times
       admin/password: 2 times
       test/password: 2 times
       guest/password: 1 time
       user/password: 1 time
    213.218.119.100 (bnc100.gamesnet.pl): 425 times
       test/password: 4 times
       admin/password: 2 times
       alexis/password: 2 times
       benjamin/password: 2 times
       caroline/password: 2 times
       christopher/password: 2 times
       claire/password: 2 times
       dominic/password: 2 times
       dominique/password: 2 times
       gabriel/password: 2 times
       guest/password: 2 times
       lucas/password: 2 times
       riley/password: 2 times
       thomas/password: 2 times
       timothy/password: 2 times
       user/password: 2 times
       aaliyah/password: 1 time
       aaron/password: 1 time
       abby/password: 1 time
       abc/password: 1 time
       abcd/password: 1 time
       abigail/password: 1 time
       adam/password: 1 time
       adelaide/password: 1 time
       adele/password: 1 time
       adrian/password: 1 time
       adriana/password: 1 time
       adrien/password: 1 time
       adrienne/password: 1 time
       agathe/password: 1 time
       agnes/password: 1 time
       aidan/password: 1 time
       aime/password: 1 time
       aimee/password: 1 time
       alain/password: 1 time
       alan/password: 1 time
       alex/password: 1 time
       alexa/password: 1 time
       alexander/password: 1 time
       alexandra/password: 1 time
       alexandre/password: 1 time
       alexandria/password: 1 time
       alexandrie/password: 1 time
       alfonso/password: 1 time
       alfred/password: 1 time
       alice/password: 1 time
       alix/password: 1 time
       allen/password: 1 time
       allison/password: 1 time
       alphonse/password: 1 time
       alyssa/password: 1 time
       amanda/password: 1 time
       amaude/password: 1 time
       amaury/password: 1 time
       amber/password: 1 time
       amelia/password: 1 time
       amelie/password: 1 time
       amy/password: 1 time
       ana/password: 1 time
       anais/password: 1 time
       anastasie/password: 1 time
       andre/password: 1 time
       andrew/password: 1 time
       ann/password: 1 time
       anna/password: 1 time
       anne/password: 1 time
       anouk/password: 1 time
       anthony/password: 1 time
       antoine/password: 1 time
       antoinette/password: 1 time
       anton/password: 1 time
       arianna/password: 1 time
       arnaud/password: 1 time
       arthur/password: 1 time
     
 Could not get shadow information for:
    NOUSER : 431 Time(s)

Kann man dagegen was machen?

[Brian]

sshd.conf:

PasswordAuthentication no
PubkeyAuthentication yes

und fertig...

[schlozy]

Was bringt das?
Das Heisst doch, dass mann dann kein Passwort mehr braucht, oder?

[Brian]

Ja das heisst es. Nie wieder lästige Passwörter eingeben, wenn man sich auf den Server loggt. Dafür brauch man halt den richtigen Key (PubkeyAuthentication yes). Den Key schützt man natürlich mit einem kryptischen Passwort (das zum Thema keine Passwörter mehr ) und hütet Ihn wie einen Schatz. Das ist sicherer als erlaubte Passwörter.

Am besten noch ein:
AllowUsers BENUTZER

Falls Du das auf einem entfernten Rechner testet lass Dir auf jeden Fall eine funktionierende SSH-Session offen, falls was in die Hose geht

[schlozy]

Kann mann bestimmte user auf bestimmte Netzwerkkarten zulassen bzw. nicht zulassen?

[JamieWolf]

Wie meinst du das auf bestimmte netzwerkkarten?
Was geht ist, dass man via iptables auf port 22 nur noch von und zu IP xxx gechatet werden darf.

Wenn du das nicht mit den Keys machen willst, dann empfiehlt sich noch ein
AllowRoot off
dann kann sich root auch nicht mehr anmelden.
Und wie schon erwähnt
AllowUser Benutzer benutzer1 etc.

Ansonsten empfehle ich http://www.debianhowto.de

[Antitrack]

Diese Einträge im Log sind leider häufigere Dictionary-Attacken.

Guggst du hier: http://www.gagme.com/greg/linux/protect-ssh.php

Sowie:

> gibt's irgendeine gut durchdachte, vorgefertigte möglichkeit wie man
> unter debian ssh-dictionary-attacken abwehren kann?

in /etc/sshd_config:

AllowUsers verwenden (u.a. natürlich kein Login für root)
MaxStartups verschärfen

sowie

http://www.csc.liv.ac.uk/~greg/sshdfilter/


Mfg, att

[schlozy]

Ich will mit root von Innen mich anmelden dürfen, aber von aussen nicht.
Der rest hört sich sehr gut an, werd ich mal testen!

[DiStefano]

Zitat:

Zitat von schlozy

Ich will mit root von Innen mich anmelden dürfen, aber von aussen nicht.
Der rest hört sich sehr gut an, werd ich mal testen!

Da solltest du zu "su" oder "sudo" greifen.

[Swain]

ssh arbeitet auch mit der hosts.allow ....

.... wenn also möglich, hier nur ein allow für die beiden ip's geben, wenn sie statisch sind...

[schlozy]

Ok. Ich hab jetzt einiges ausprobiert.
Rein kommen die eigendlich nicht, nur kann man irgendwie da so einstellen, dass wenn z.B. 3 Loginversuche von der gleichen IP adresse fehlschlugen er die IP sperrt?
Die sollte dann natürlich nach einiger Zeit (ca. 1 tag) wieder frei gegeben werden.
Ich mein ich weiss, dass die nicht reinkommen, da nur noch 2 user reinkommen und diese namen nicht in den listen auftauchen. Aber nervig ist das schon und ausserdem wenn die direkt wieder gekickt werden, haben die vielleicht nach einiger Zeit keine lust mehr solche attacken zu starten. ( Ich glaube a das Gute im Menschen!!!)

[Swain]

du könntest auch mit port knocking arbeiten ...

... oder ssh auf einen anderen port legen ...

.. und dir das mal naschauen ...