Openssh-Server absichern

| Keine Kommentare | Keine TrackBacks

Jeder, der sich entschließt seinen eigenen Server ins Netz zu stellen, möchte auch von außen aus den Internet darauf zugreifen können. Es liegt nichts näher, als einen SSH-Dienst zu installieren. Mit ihm kann man sich von extern einloggen und seinen Server administrieren.

Nun ist es einmal Fakt, dass Botangriffe etc. an der Tagesordnung sind. Das Primärziel solcher Angriffe ist demzufolge dieser Dienst. Die Hoffung auf Erfolg ist hier am größten.

Prinzipiell muss man dem Standarduser "root" die Rechte entziehen, da der Username feststeht was dem Angreifer die Loginversuche vereinfacht. Der eigentliche Administrator des Rechners sollte allerdings den SSH benutzen dürfen, er ist in der Gruppe "admin"

In der Konfigurationsdatei /etc/ssh/sshd_config sind dazu folgende Einträge vorzunehmen:

PermitRootLogin no

AllowGroups admin

Heute hatte ich einmal wieder viele kleine Einlogversuche, und zwar zu diesem SSH-Dienst. Da die Einlogversuche quasi unbegrenzt vorgenommen werden können ohne geblockt zu werden, hat dies meine Nervosität schon einmal gefördert...

Etwas Suchen hat geholfen: Es gibt da ein Tool "denyhosts".


Dieses Tool scannt in regelmässigen Abständen die Protokolldatei /var/log/auth.log in der Authentifizierungsfehler aufgelistet werden. Tauchen von einer IP mehrere Fehler auf, wird diese in die Datei /etc/host.deny eingetragen und somit dauerhaft abgewiesen. Verschiedene Modifikationen dieser Konfiguration können vorgenommen werden. Es gibt selbst auch eine öffentliche hosts.deny-Liste, die erweitert bzw. abgerufen werden kann.


Einfach installiert:
$ sudo apt-get install denyhosts

Prinzipiell muss man nichts konfigurieren. Die Konfigurationsdatei /etc/denyhosts.conf ist quasi selbsterklärend und auch sehr gut kommentiert.

Standardmäßig wird nur der SSH-Dienst überprüft:

BLOCK_SERVICE = sshd

Möchte man die Namensauflösung der IP-Adressen aktivieren:

HOSTNAME_LOOKUP=YES

Sonst habe ich lediglich einige optionale Einträge geändert, welche mir im Falle eines neuen Deny-Eintrages eine Mail schicken:

############ THESE SETTINGS ARE OPTIONAL ############

ADMIN_EMAIL = foo@bar.com

SMTP_FROM = Mein DenyHosts <foo@bar.com>

SMTP_SUBJECT = Tobis DenyHosts Report

#dem Syslog-Dienst bescheid geben

SYSLOG_REPORT=YES
######### THESE SETTINGS ARE SPECIFIC TO DAEMON MODE ##########

DAEMON_LOG = /var/log/denyhosts

DAEMON_SLEEP = 30s

Das war's und schwuppdiwupp waren sechs IP-Adressen in der host.deny:

Ein Auszug aus der von denyhosts generierten Mail an den root:
200.96.33.210 (unknown)
217.133.194.98 (static-217-133-194-98.clienti.tiscali.it)
123.233.245.226 (unknown)
148.243.223.210 (na-148-243-223-210.na.avantel.net.mx)
222.191.251.133 (unknown)
68.167.156.30 (h-68-167-156-30-static.lsanca54.covad.net)

Ab sofort werden diese Hostadressen sofort abgewiesen.

 
Falls sich bei den veröffentlichten IP's jemand auf den Schlips getreten fühlt (unknown) hat wohl in dem Fall ein dynamisches IPech.

Keine TrackBacks

TrackBack-URL: http://www.tobis-home.de/mt/mt-tb.cgi/11

Jetzt kommentieren

Über diese Seite

Diese Seite enthält einen einen einzelnen Eintrag von Tobias Hesse vom 16.04.09 19:14.

Windows XP 64 Clone ist der vorherige Eintrag in diesem Blog.

Blogger Client für Movable Type: Bilbo ist der nächste Eintrag in diesem Blog.

Aktuelle Einträge finden Sie auf der Startseite, alle Einträge in den Archiven.

Archiv

Mai 2014

So Mo Di Mi Do Fr Sa
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31