Re: Göra burken säker?

To: timebandit <timebandit@dzn.mine.nu>
Cc: debian-user-swedish@lists.debian.org
Subject: Re: Göra burken säker?
From: Urban Bäcklund <urban@backlund.tk>
Date: Tue, 01 Mar 2005 21:52:32 +0100
Message-id: <[🔎] 4224D610.9060908@backlund.tk>
Reply-to: urban@backlund.tk
In-reply-to: <[🔎] 20050301101704.2A41.TIMEBANDIT@dzn.mine.nu>
References: <[🔎] 20050301101704.2A41.TIMEBANDIT@dzn.mine.nu>


Hej!

Kan inte se att något i de loggar du skickat tyder på att någon
lyckats "bryta" sig in i din dator.

Däremot har dom försökt, vilket inte är ovanligt.
Ser sånt där i mina loggar dagligen.

Som standard tror jag att alla "normala" användare kan
logga in via SSH om porten öppnats i iptables.
Skriver lite hur jag begränsar anslutningsmöjligheterna
via SSH.

OBS: Gör inga anspråk på att vara expert.

Som andra redan skrivit, i sshd.conf:
PermitRootLogin no  ;Tillåter inte root login via SSH
AllowUsers user1 user2@host ;Vilka användare som får logga in via SSH
                            ;och även från vilken host

Root-login via SSH bör spärras eftersom alla vet att det kontot finns.

Tidigare använde jag tcp wrappers för att styra vilka
ip-adresser/hosts som får att ansluta via SSH: I filen hosts.allow
kan det t ex skrivas:
sshd : 130.130.130.130 \
       140.140.140.
 :ALLOW

Kan användas till att tillåta alla användare ansluta
via SSH, men enbart från en utvald ip-adress (tcp wrappers
har mycket fler möjligheter än detta, men som exempel).

Behöver en användare inte kunna logga in, t ex bara ansluta
via FTP eller enbart kunna läsa/skicka mail från en windowsburk,
tycker jag man ska man spärra inloggning för den användaren.
T ex genom att sätta shell=/bin/false.

Själv använder jag virituella användare mot de servrar jag använder.
Virituella användare gör att det endast behöver skapas "riktiga"
användare för dom som har behov att kunna logga in. En annan sak är
att det går att ha olika passord för samma användarnamn. T ex att
använda samma användarnamn för både e-mail och inloggning, men ha
olika passord.

ProFtp, Qpopper och Exim är lätta att konfigurera att använda
virituella användare via egna passwd-filer. Själv har
jag gjort virituella användare i MySql för Exim och Courier-IMAP.

Sen går det alltid att använda ip-tables. Själv la jag in raden:

iptables -A INPUT -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -p TCP--dport 22 --syn -m limit --limit-burst 5 - ACCEPT

Görs det fler än 5 synk-försök för SSH på raken spärras port 22
en stund. Att port 22 spärras en liten stund har aldrig stört mig.

MVH
Urban Bäcklund


timebandit wrote:

Mitt första intrång imorse då :/
Några bra sätt/knep/rekommendationer att göra burken säkrare?
Kör Debian testing med 2.4.29 och endast fåtal portar öppna som,
22,25, 80,161, 443, 993...
Mar  1 04:51:40 DZN sshd[23046]: Failed password for illegal user sonya from 198.104.144.59 port 42522 ssh2
Mar  1 04:51:41 DZN sshd[23050]: Illegal user tony from 198.104.144.59
Mar  1 04:51:41 DZN sshd[23050]: error: Could not get shadow information for NOUSER
Mar  1 04:51:41 DZN sshd[23050]: Failed password for illegal user tony from 198.104.144.59 port 42561 ssh2
Mar  1 04:51:43 DZN sshd[23052]: Illegal user just from 198.104.144.59
Mar  1 04:51:43 DZN sshd[23052]: error: Could not get shadow information for NOUSER
Mar  1 04:51:43 DZN sshd[23052]: Failed password for illegal user just from 198.104.144.59 port 42604 ssh2
Mar  1 04:51:44 DZN sshd[23054]: Illegal user justice from 198.104.144.59
Mar  1 04:51:44 DZN sshd[23054]: error: Could not get shadow information for NOUSER
Mar  1 04:51:44 DZN sshd[23054]: Failed password for illegal user justice from 198.104.144.59 port 42646 ssh2
Mar  1 04:51:46 DZN sshd[23056]: Illegal user bank from 198.104.144.59
Mar  1 04:51:46 DZN sshd[23056]: error: Could not get shadow information for NOUSER
Mar  1 04:51:46 DZN sshd[23056]: Failed password for illegal user bank from 198.104.144.59 port 42695 ssh2
Mar  1 04:51:47 DZN sshd[23060]: Illegal user vip from 198.104.144.59
Mar  1 04:51:47 DZN sshd[23060]: error: Could not get shadow information for NOUSER
Mar  1 04:51:47 DZN sshd[23060]: Failed password for illegal user vip from 198.104.144.59 port 42735 ssh2

Mar  1 06:25:04 DZN su[26029]: + ??? root:nobody
Mar  1 06:25:04 DZN su[26029]: (pam_unix) session opened for user nobody by (uid=0)

Även en massa Failed password for root som finns i loggarna :/ Dem
lyckades tydligen ta sig in i morse men han dra ut nätverkskabeln innan
dem gjorde nån skada... dem körde nått med find men hittar inget i
loggarna där det visar vad dem gjorde :/

Reply to:

Follow-Ups:
- Re: Göra burken säker?
  - From: timebandit <timebandit@dzn.mine.nu>

References:
- Göra burken säker?
  - From: timebandit <timebandit@dzn.mine.nu>

Prev by Date: Re: Kamera och kortläsare på usb
Next by Date: Re: Göra burken säker?
Previous by thread: Re: Göra burken säker?
Next by thread: Re: Göra burken säker?
Index(es):
- Date
- Thread