Re: Attacken auf ssh-Server

To: debian-user-german@lists.debian.org
Subject: Re: Attacken auf ssh-Server
From: Martin Steigerwald <martin@lichtvoll.de>
Date: Fri, 21 Jun 2019 11:53:19 +0200
Message-id: <[🔎] 3013531.1DKXM7ODWv@merkaba>
In-reply-to: <[🔎] 20190621094245.3615fe61@einstein.curt.lan>
References: <[🔎] 20190621094245.3615fe61@einstein.curt.lan>

Hi Uwe.

Uwe Herrmuth - 21.06.19, 09:42:
> ich betreibe seit ca. 12 Jahren einen 24/7-Server auf Debian-Basis
> (aktuell stretch) hinter einer Fritzbox mit DynDNS. U.a. läuft da auch
> ein sshd.
> Anfangs lief der noch auf dem Standard-Port 22. Man lernt ja dazu und
[…]
> Seit 2 Tagen beobachte ich aber erneut Einbruchsversuche.
> sshd meldet 2-3 mal pro Stunde
> 
> Invalid user store from 103.60.212.221 port 51566
> input_userauth_request: invalid user store [preauth]
> pam_unix(sshd:auth): check pass; user unknown
> pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0
> tty=ssh ruser= rhost=103.60.212.221
> Failed password for invalid user store from 103.60.212.221 port 51566
> ssh2
[…]

Ich wundere mich, dass dies noch nicht als Empfehlung kam:

*Keine Passwörter*. Weder für root noch für irgendeinen anderen 
Benutzer.

Nur mit SSH-Schlüssel authentifizieren. rsa mit mindestens 4096 Bit oder 
ed25519. Solange Quantencomputer diese Verfahren noch nicht zum 
Frühstück verspeisen, dürfte das mit das Sicherste sein, was du tun 
kannst. Natürlich die Passwort-Authentifizierung erst abschalten, wenn du 
sicher bist, dass die Anmeldung via SSH-Schlüssel gelingt. Generell bei 
Anpassungen an der SSH-Konfiguration: Verbindung bestehen lassen, SSH neu 
starten (lässt Verbindung bestehen), Anmelden testen und erst dann ggf. 
die alte Verbindung beenden.

Ansonsten empfehle ich:

- Applied Crypto Hardening¹. Und mit ssh-audio

- sshguard oder fail2ban

- anderen Port hast du ja schon

- SSH auf Benutzer einer bestimmten Gruppe beschränken: Achtung! Auch 
root muss in der Gruppe sein, falls du Anmeldung als Root erlauben 
möchtest (ich sehe da kein Problem mit, wenn du alleine auf dem Server 
hantierst und nur SSH-Schlüssel erlaubst)

- Wenn Du darüber hinaus Zeit investieren möchtest, lasse lynis laufen 
und implementiere, was immer dir von den Empfehlungen, die das Tool 
auswirft, sinnvoll erscheint. Ich habe längst nicht alles davon 
umgesetzt, aber das mit der Gruppe für SSH-Benutzer hab ich mir 
herausgezogen.

[1] https://bettercrypto.org/

Ciao,
-- 
Martin

Reply to:

Follow-Ups:
- Re: Attacken auf ssh-Server
  - From: Uwe Herrmuth <u.herrmuth@gmx.de>

References:
- Attacken auf ssh-Server
  - From: Uwe Herrmuth <u.herrmuth@gmx.de>

Prev by Date: Re: Attacken auf ssh-Server
Next by Date: Re: Attacken auf ssh-Server
Previous by thread: Re: Attacken auf ssh-Server
Next by thread: Re: Attacken auf ssh-Server
Index(es):
- Date
- Thread