Re: SSH-Server auf Angriffe prüfen.(Summary)

To: debian-user-german@lists.debian.org
Subject: Re: SSH-Server auf Angriffe prüfen.(Summary)
From: Niels Stargardt <niels.stargardt@gmx.de>
Date: Sat, 09 Sep 2006 19:03:28 +0200
Message-id: <[🔎] edus50$48p$1@online.de>
Reply-to: niels.stargardt@gmx.de
References: <[🔎] edtria$a9t$1@online.de>

Niels Stargardt wrote:

> Moin,
> ich habe einen öffentlich zugänglichen SSH-Server (tine). Dieser wird per
> autossh regelmäßig von meinem Arbeitsplatzrechner (mit Einverständnis des
> Arbeitgebers) kontaktiert. Zur Zeit habe ich folgende Sicherheitsmaßnahmen
> 
> 1. Ein Login ist nur per public-key möglich.
> 
> 2. Der Key der für autossh genutzt wird (und kein Passwort haben kann) ist
> für einen Benutzer, der als Shell /bin/false hat, so dass damit keiner
> Unfug treiben kann, außer Ports weiterzuleiten.
> 
> Ich würde eigentlich gerne sicherstellen, dass nur Ports in die ein
> Richtung gefordert werden, also wenn ich mich intern an tine wende, dass
> die zum Firmenrechner geforwardet werden. Geht das?
> 
> Das zweite was mir noch wichtiger ist. Wie kann ich erkennen, ob jemand
> versucht über meinen SSH-Server einzudringen?
> 
> 
Ich fasse mal den bisherigen Thread zusammen um die noch offene Frage
hervorzuheben. Soweit ich es verstanden habe, ist es nur bedingt möglich
das PortForwarding einzuschränken auf bestimmte Ports oder Richtungen. Was
gut geht sind bestimmte IP-Adressen auszusperren. OK.
Um Angriffe zu Entdecken kann man die Firewall nutzen und bei mehreren
Rejects den Port sperren, was für DoS-Attacken anfällig ist. Eleganter wäre
da fail2ban. Alleine zum Feststellen tut es auch  logwatch --service sshd
--print. Beide setzen auf die Analyse der Log-Datei /var/log/auth.log. 
Mein Problem: Ich finde in der Datei nur Angriffe auf einen unbekannten
Nutzer. Angriffe auf existierende Nutzer mit falschen Key finde ich nicht.
Daher meine Vermutung, dass evtl. der SSH-Server falsch konfiguriert ist.
Ich habe die man-Page noch mal studiert, aber keine Idee bekommen. Die
Config könnt Ihr lesen unter http://rafb.net/paste/results/Ghd7ia53.html.

Also wenn jemand weiß wie man es schafft Angriffe auf existierende Nutzer
mit falschem oder gar keinem Key zu protokollieren wäre ich dankbar. Wenn
ich den Log-Eintrag habe, denke ich bekomme ich auch fail2ban von backports
installiert und konfiguriert.
Danke
        Niels

Reply to:

References:
- SSH-Server auf Angriffe prüfen.
  - From: Niels Stargardt <niels.stargardt@gmx.de>

Prev by Date: Re: RCS aus Quellcode loswerden
Next by Date: Re: Scannen automatisieren
Previous by thread: Re: SSH-Server auf Angriffe prüfen.
Next by thread: kleine Menüschfiten / etch - xfonts-base-transcoded
Index(es):
- Date
- Thread