Einbruchsversuch per SSH

D

derhesse

0
Hallo zusammen.

Ich habe da ein kleines Problem. Auf meinem RootServer versuchen ständig Leute per Wordlistattacke einzubrechen. Die Logfiles sagen das aus.

Gibt es ein Möglichkeit, dies zu verhindern - also nach z.B. 5 erfolglosen Versuchen die IP zu sperren - oder wenigstens eine Möglichkeit darüber zeitnah benachrichtigt zu werden.

BS : Suse Linux 9.1

Danke
Der Hesse
 
OK, guter Tipp. Hab ich auch gleich gemacht. Aber der ist mit einem Portscan schnell wieder gefunden. Was kann ich noch tun?
 
das du dich vorher erst als benutzer einloggen mußt bevor du dann auf root überwechselst.

und bezüglich portscans.. macht das heute noch jemand? :)


-sk0l
sinalco
 
Original von sinalco
das du dich vorher erst als benutzer einloggen mußt bevor du dann auf root überwechselst.

und bezüglich portscans.. macht das heute noch jemand? :)
Zum Vergrößern anklicken....

Kannst du mir einen Link geben, wie ich das einstellen kann? Port war kein Problem, aber die Option mit dem User erst dann root kenn ich nicht.

Wie meinst du das mit den Portscans?

Der Hesse
 
Das müsste iirc doch "MaxAuthTries" in der /etc/ssh/sshd_config sein, oder?

Edit: Root-Login verbietest du mit "PermitRootLogin no".
Einfach mal in der config rumschauen.
 
jo - nur leg vorher nen anderen user an und geb dem die rechte für ssh, log dich dann mit dem user vorherein um zu sehen ob ssh mit diesen dann auch geht, dann starte den ssh-daemon neu... sonst kommst nimma aufs kastel :)

-sk0l
sinalco
 
Und dann mit dem Befehl "su" Rootrechte holen bei Bedarf ;)

Noch sicherer wäre auf ein Paßwortauth zu verzichten und Shared Keys zu benutzen...
Dann gibst du das PW local auf dem Rechner ein und sendest es nicht...

Wenn du die Keyfiles nicht hast, dann haut dich der Server sofort nach Eingabe des Usernamen raus... Also hat ein Angreifer gar keine Möglichkeit das Paßwort einzugeben
 
Danke für eure Tipps, ich werd das dann mal ausprobieren.

Die SharedKeys kenne ich, aber das ist mir zu gefährlich, wenn ich die Keys verliere oder jemand sie in die Hände bekommt, dann bin ich gleich ganz raus. Trotzdem danke.

DerHesse
 
Also du kannst sie ja auf zweitrechner oder ähnliches sichern...

Da endet zwar mein Wissen ehrlich gesagt, aber die Shared Keys haben ja auch eine Passphrase, damit sie für anderre unbrauchbar sind. Weiß nurnicht inwiefern ein Hacker so ein Keyfile auslesen könnte...

Edit: kurz zu den Ports... Um die Scriptkiddies wenigstens loszuwerden, bzw Bots die das Inet durchscannen auf dem Port 22, ist eine Portänderung auf jeden Fall keine schlechte Idee. Auch wenn den richtigen die die ihn wollen trotzdem bekommen
 
Original von derhesse
Die SharedKeys kenne ich, aber das ist mir zu gefährlich, wenn ich die Keys verliere oder jemand sie in die Hände bekommt, dann bin ich gleich ganz raus. Trotzdem danke.
Zum Vergrößern anklicken....

- seinen key sollte man natuerlich auch mit nem entsprechenden pw "begluecken"
- wenn jemand dein pw irgendwie rausbekommt, hat er auch zugriff
- backups sollten da helfen
 
Ich hab da mal was tolles gehört. Das nannte sich glaube ich portknocking.
Such mal bei google nach portnocking. Das ist sicher das was du suchst.
 
Ich verstehe diesen ganzen unsinnigen Wirbel nicht.

Lege den Port um, das hilft bei automatisierte Angriffen insofern dass sie nichts finden.
Nimm ein normales Konto und benutze auf der Maschine su um root zu werden.
Dann waehle ein schoen langes Passwort und du hast Ruhe.
Und wenn du dann ein 28 Zeichen(zb) langes Passwort hast..wer will das denn per Bruteforce treffen?

Viel wichtiger ist jedoch dass du gefixte Software deiner Services im Betrieb hast.

mfg
 
So einen Wirbel wollte ich auch gar nicht machen, wollte mir nur ein paar Tipps abholen, wie ich meinen Server absichern kann, im Bezug auf SSH. Die Tipps habe ich auch bekommen und ich bin zufrieden.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben