Re: Maximale Connections bei sshd einstellen bzw. wie kann ich sshd noch besser absichern?
On Sat, 12 Feb 2005, Christian wrote:
> Hallo Liste,
Konbawa Chris-Sama,
> gibt es eine Möglichkeit mich gegen Brute Force Attacken via ssh durch
> beschränkte maximale Connections o.ä. zu schützen?
[ snip Log von Bruteforce ssh abuse ]
Eine freundliche Mail an den abuse-contact des Providers wirkt wahre
Wunder - zumindest bei verantwortungsvollen Providern. Meistens ist der
Übeltäter noch nicht einmal der Inhaber der gezeigten IP sondern nur ein
armer Hund, dessen Server gehackt wurde. Die Mail sollte daher wirklich
freundlich gehalten sein.
Nett war auch mal die Geschichte mit dem Kunden von 1&1 dessen neuer
Rootserver gebrochen wurde... Dem habe ich geschrieben, dass sein Server
wohl gehackt sei und ihn ganz ganz höflich gebeten, das abzustellen.
Der hat sich hinterher wie wild bedankt, weil meine Mail wohl die einzige
war, die in einem freundlichen Ton war. Die anderen Mails waren wohl in
dem Format:"... Anzeige / Verklagen / und schlimmeres...".
Bei verantwortungslosen Providern ist das natürlich vergebliche
Liebesmühe. Aber ein anderer freundlicher Mensch hat einmal eine Reihe von
Netzadressen gesammelt, die sich um Abuse-Complaints recht wenig kümmern
und diese unter
http://www.blackholes.us/
zur Verfügung gestellt.
Diese von Dir gezeigte Adresse taucht jedoch nicht dort in dessen tarball
auf, obwohl die lt. whois 31 /24er Subnets haben. Die Chancen, dort einen
verantwortungsvollen Provider zu finden, dürften recht hoch sein.
Der Mensch auf der IP betreibt einen Mailserver. Wenn Du magst, kannst Du
dem Spanischen Registrar eine freundliche Mail abwerfen.
Wenn Du die Shorewall installiert hast, kannst Du dort die *.txt-Dateien
in Blacklist-Einträge umwandeln und damit zumindest schon einmal rund 80%
der Angriffe blocken.
Eine weitere Möglichkeit bietet Dir "logcheck", der beim Auftauchen
bestimmter Muster in bestimmten Logfiles eine Mail schickt, damit Du
manuelle Gegenmassnahmen ergreifen kannst.
Eine dritte - eher rabiate Möglichkeit ist, IP-Adressen, die in
entsprechender Weise auffällig werden, mit einem
iptables -I INPUT -s 66.79.165.130 -j DROP
zu bedenken. Wenn Du keine Angst davor hast, Dich selbst zu DOSen, dann
kannst Du das auch von einem Script erledigen lassen. Muss jeder selber
wissen. Whitelisten sind eine feine Sache ... ;-)
> Kann ich das in gewisser Weise unterbinden? Was sollte alles in einer
> sshd_config drin stehen?
Ein guter Anfang ist:
PermitRootLogin no
oder
PermitRootLogin forced-commands-only
wenn Du z.B. wg. Backups noch einen root-Zugriff brauchen solltest.
Hierdurch kann lange versucht werden, an den interaktiven "root" zu
kommen. Man braucht mindestens einen unterprivilegierten lokalen Account,
der gebrochen werden muss. Dies hebt die Hürde für den Angreifer noch ein
wenig höher.
Anschließend würde ich den Login mit Passwörtern generell streichen:
PasswordAuthentication no
PAMAuthenticationViaKbdInt no
bzw.
usePAM no
Ein ssh-Login auf dem Rechner bringt dann nur noch ein:
Permission denied (publickey)
Hierdurch kommen nur noch User mit entsprechenden Keys auf den sshd. Einem
Passwort-Bruteforce kann man nun in aller Ruhe und Gelassenheit zusehen.
Selbstverständlich hast Du auch nur die Accounts enabled, die Du unbedingt
benötigst. Standardaccounts für Demons haben den Login disabled oder ein
entsprechend starkes Passwort.
Und überhaupt: Wenn Dich einer angreift: Ruhe bewahren ist wohl das
allerwichtigste. Nichts überstürzen. Keine Beweise selbst vernichten.
Lieber zwei Sekunden länger überlegen was man nun als nächstes macht.
Am allerbesten schon vor dem Angriff einen Plan zurechtzimmern und den
einstudieren, damit in der Aufregung jeder Handgriff sitzt.
> Macht es Sinn sich bei solchen Angriffen an die Abuse-Mail des
> entspr. Providers zu wenden oder verläuft so etwas sowieso im Sand und
> ist den Aufwand nicht wert?
Hängt vom Provider ab. Der nette Mensch auf "blackholes.us" ist aber
sicherlich gerne bereit, ein weiteres 31*/24 Subnet aufzunehmen, denke ich
mal...
t++
Reply to: