[HaBo]
| Webmaster-Security Fragen zur richtigen Serverkonfiguration oder Absicherung dynamischer Scripte gehören hier hinein. |
Ssh
Diskussion: Ssh im Forum Webmaster-Security, in der Kategorie Security Area; Anzeige Hallo, Ich weiß es gibt schon viele Threads zu SSH Deamon absichern. Ich habe täglich sehr viele Angriffe mit ...
 |
14.01.07, 12:34
| #1 (permalink) |
| Registriert seit: 07.11.03   Likes: 0 |  Ssh Anzeige Hallo, Ich weiß es gibt schon viele Threads zu SSH Deamon absichern. Ich habe täglich sehr viele Angriffe mit DOS Attacken per SSH auf meinen Server. Es sind zwischen 800 bis 1400 täglich. Ist es möglich ssh_config oder sonst wie, -nach einem falschen Login, direkt die Verbindung zu kappen -nach 3 falschen Logins die IP für ein paar Stunden zu sperren? Vielleicht lässt sich das auch über ein Script lösen, welches in 5min Intervallen oder so aufgerufen wird. Ich möchte auch nicht den Port des SSHd vorerst ändern. Die Sicherheit ist ja im Interesse von allen ;) Auszug aus dem /var/log/secure | grep Failed Code: Jan 14 06:20:04 vs169192 sshd[15676]: Failed password for illegal user gemss from 69.20.5.170 port 29613 ssh2 Jan 14 06:20:08 vs169192 sshd[15914]: Failed password for illegal user kurt from 69.20.5.170 port 29830 ssh2 Jan 14 06:20:12 vs169192 sshd[16059]: Failed password for illegal user weisz from 69.20.5.170 port 30064 ssh2 Jan 14 06:20:15 vs169192 sshd[16134]: Failed password for illegal user stud from 69.20.5.170 port 30287 ssh2 Jan 14 06:20:19 vs169192 sshd[16185]: Failed password for illegal user teach from 69.20.5.170 port 30500 ssh2 |
|  |
|
14.01.07, 13:08
| #2 (permalink) |
| Senior Member Registriert seit: 21.01.04 Likes: 0 |  Ist in Kombination mit iptables wohl ganz gut machbar: http://blog.andrew.net.au/2005/02/16...nd_ssh_attacks |
|
| |
| HaBOT | - Anzeige - |
|
|
14.01.07, 15:09
| #3 (permalink) |
| Themenstarter Registriert seit: 07.11.03 Likes: 0 | geht ein verbindungsabbau auch ohne ittables? da ich einen gemieteten vserver habe und die ittables nicht direkt auf dem server laufen. |
|
| |
|
14.01.07, 16:20
| #4 (permalink) | |
| Registriert seit: 22.11.05 Likes: 0 | Zitat:
btw. sshd_config is interessant. die ssh_config ist recht uninteressant in diesem fall | |
|
| |
|
14.01.07, 16:33
| #5 (permalink) |
| Moderator  Registriert seit: 14.02.06    Likes: 21 |  MaxAuthTries setzt aber nur ein Limit für eine einzelne Verbindung, diese Einstellung verhindert nicht, dass man danach einfach eine weitere Verbindung öffnet. |
|
| |
|
14.01.07, 16:42
| #6 (permalink) |
| Registriert seit: 22.11.05 Likes: 0 | hmm.. ok das wusste ich nicht. nagut wieder was dazu gelernt. danke lx. |
|
| |
|
14.01.07, 17:23
| #7 (permalink) |
| Moderator  Registriert seit: 30.09.06  Likes: 443 | Diese Bruteforces sind wahrscheinlich durch einen Bot verursacht. Einfach den SSH-Server auf einen anderen Port setzen sollte hier schnelle Abhilfe schaffen. Edit: Zusätzlich kannst du noch fail2ban nutzen. Damit können IPs nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche für einen in der Konfiguration angegebenen Zeitraum via iptables gesperrt werden. Diverse Programme wie sshd, proftpd, Apache, vsftpd usw. werden unterstützt.
__________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+ |
| |
|
14.01.07, 21:16
| #8 (permalink) |
| Registriert seit: 09.01.07 Likes: 0 | Lass SSH auf nem anderen Port als 22 lauschen, dann haste deine Ruhe. War bei mir genau daselbe... Seit ich den Port auf 5678 gewechselt hab, hab ich nicht einen einzigsten "illegal user"...  5678 eignet sich gut dafür, da es kein Standardport ist und nmap ihn mit den meisten Scanverfahren nicht überprüft. |
|
| |
|
| - Anzeige - | |
|
|
[HaBo] » Security Area » Webmaster-Security » Ssh
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
