Re: SSH-Server auf Angriffe prüfen.
Hi,
Am Samstag, den 09.09.2006, 11:36 +0200 schrieb Niels Stargardt:
> Ich meine das PortForwarding. Durch den Tunnel soll mir zwar ein Port
> angeboten werden, aber es soll nicht möglich sein vom Rechner der sich per
> SSH einloggt, Ports zu meinem Rechner zu leiten.
>
> >> Das zweite was mir noch wichtiger ist. Wie kann ich erkennen, ob jemand
> >> versucht über meinen SSH-Server einzudringen?
Es gibt das nette Paket fail2ban. Das Untersucht die Logfiles und kann
dann beispielsweise nach 5 fehlgeschlagenen SSH-Versuchen die
betreffende IP für 10 Minuten mit Iptables sperren.
Man kann über sie Sinnhaftigkeit von so was streiten, aber im Moment
gibt es lästige Scripts, die versuchen verschiedene SSH-User
abzuscannen.
fail2ban kann übrigens auch apache, ftp und ein paar andere Sachen
überwachen.
> > Du koenntest Dir mit "logwatch" eine taegliche Zusammenfassung (nicht
> > nur der SSH-Logins) schicken lassen.
> Und was ist da der Suchbegriff? Mir ist selbst wenn ich mal einen Fehler
> beim Login gemacht habe, nichts aufgefallen.
Das hier ist aus meinem Logwatch:
sshd:
Authentication Failures:
unknown (202.168.253.6): 1 Time(s)
Invalid Users:
Unknown Account: 1 Time(s)
Sessions Opened:
root by root: 4 Time(s)
Die Statistik für SSH ist also schon eingebaut. Die rootlogins sind
übrigens auch nur mit Schlüsseln möglich.
Zudem solltest Du Dir mal die Manpage zu sshd_config anschauen. Da steht
viel, wie man den Dienst absichern und konfigurieren kann.
Greetz,
Andre
--
BOFH-excuse of the day: Browser's cookie is corrupted -- someone's been
nibbling on it.
Reply to: