[gentoo-user-de] SSH Ban nach 3 Anmeldeversuchen

[gentoo-user-de] SSH Ban nach 3 Anmeldeversuchen

[webmaster]

Moin,

ich meine vor einiger Zeit hier auf der Liste gelesen zu haben, dass
empfohlen wurde, root-server mit einem automatischen IP-Ban Programm
auszustatten, welches nach 3 erfolglosen SSH Logins auslöst und
entsprechend die IP sperrt(IPTables?). Leider ist mir der Name von dem
Programm entfallen, könnt ihr mir bitte auf die Sprünge helfen? ;)

MfG Sascha Dirbach


-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] SSH Ban nach 3 Anmeldeversuchen

[Norman Rieß]

webmaster@saschasworld.de schrieb:
> Moin,
>
> ich meine vor einiger Zeit hier auf der Liste gelesen zu haben, dass
> empfohlen wurde, root-server mit einem automatischen IP-Ban Programm
> auszustatten, welches nach 3 erfolglosen SSH Logins auslöst und
> entsprechend die IP sperrt(IPTables?). Leider ist mir der Name von dem
> Programm entfallen, könnt ihr mir bitte auf die Sprünge helfen? ;)
>
> MfG Sascha Dirbach
>
>
>   
denyhosts
-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] SSH Ban nach 3 Anmeldeversuchen

[Christian Bricart]

webmaster@saschasworld.de wrote:
> Moin,
>
> ich meine vor einiger Zeit hier auf der Liste gelesen zu haben, dass
> empfohlen wurde, root-server mit einem automatischen IP-Ban Programm
> auszustatten, welches nach 3 erfolglosen SSH Logins auslöst und
> entsprechend die IP sperrt(IPTables?). Leider ist mir der Name von dem
> Programm entfallen, könnt ihr mir bitte auf die Sprünge helfen? ;)

entweder
 "fail2ban" (überwacht deine Logfiles und erstellt iptables-Regeln on the
fly)
oder
 "ipt_recent"-Target in iptables selber (alles ohne Userspace-Programme
direkt in der Firewall mit zwei Regeln abgefrühstückt)

Christian

-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] SSH Ban nach 3 Anmeldeversuchen

[Michel Georgy]

Norman Rieß schrieb:
> webmaster@saschasworld.de schrieb:
>> Moin,
>>
>> ich meine vor einiger Zeit hier auf der Liste gelesen zu haben, dass
>> empfohlen wurde, root-server mit einem automatischen IP-Ban Programm
>> auszustatten, welches nach 3 erfolglosen SSH Logins auslöst und
>> entsprechend die IP sperrt(IPTables?). Leider ist mir der Name von dem
>> Programm entfallen, könnt ihr mir bitte auf die Sprünge helfen? ;)
>>
>> MfG Sascha Dirbach
>>
>>
>>   
> denyhosts
nutze auch denyhosts. 
Empfehle aber deine IP  auf die withelist zu setzten, es geht relativ 
schnell bis man sich ausgesperrt hat.
Musste ich schon feststellen :D

Gruss
-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] SSH Ban nach 3 Anmeldeversuchen

[Jan Dennis Bungart]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1



Michel Georgy schrieb:
> Norman Rieß schrieb:
>> webmaster@saschasworld.de schrieb:
>>> Moin,
>>>
>>> ich meine vor einiger Zeit hier auf der Liste gelesen zu haben, dass
>>> empfohlen wurde, root-server mit einem automatischen IP-Ban Programm
>>> auszustatten, welches nach 3 erfolglosen SSH Logins auslöst und
>>> entsprechend die IP sperrt(IPTables?). Leider ist mir der Name von dem
>>> Programm entfallen, könnt ihr mir bitte auf die Sprünge helfen? ;)
>>>
>>> MfG Sascha Dirbach
>>>
>>>
>>>   
>> denyhosts
> nutze auch denyhosts. Empfehle aber deine IP  auf die withelist zu
> setzten, es geht relativ schnell bis man sich ausgesperrt hat.
> Musste ich schon feststellen :D
Dürfte recht problematisch werden wenn die Kiste in irgendeinem RZ steht
 wo man sich von Zuhause einloggen mag. Dann schlägt mal wieder Mr.
Dynamic IP zu und dann kannste das knicken und probieren von einem
anderen Server des selben Netzes die Verbindung aufzubauen und dich
selbst wieder zu etablieren. Da empfiehlt sich ein Reverse Lookup via
DynDNS oder sonne Driss für die Home Leitung :-)

> 
> Gruss

Greetings

- --

GPG:   http://pgpkeys.pca.dfn.de/pks/lookup?search=0x941F1883

- --
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.7 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHFioXPmR91pQfGIMRAuVlAJ4wktXjite2XCG/QLmoNfe4PMHWmACgg0KR
Jj+FJZwwVU2sSerPjjAI1Zw=
=A3XB
-----END PGP SIGNATURE-----
-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] SSH Ban nach 3 Anmeldeversuchen

[Marc]

Jan Dennis Bungart schrieb:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
>
>
> Michel Georgy schrieb:
>   
>> Norman Rieß schrieb:
>>     
>>> webmaster@saschasworld.de schrieb:
>>>       
>>>> Moin,
>>>>
>>>> ich meine vor einiger Zeit hier auf der Liste gelesen zu haben, dass
>>>> empfohlen wurde, root-server mit einem automatischen IP-Ban Programm
>>>> auszustatten, welches nach 3 erfolglosen SSH Logins auslöst und
>>>> entsprechend die IP sperrt(IPTables?). Leider ist mir der Name von dem
>>>> Programm entfallen, könnt ihr mir bitte auf die Sprünge helfen? ;)
>>>>
>>>> MfG Sascha Dirbach
>>>>
>>>>
>>>>   
>>>>         
>>> denyhosts
>>>       
>> nutze auch denyhosts. Empfehle aber deine IP  auf die withelist zu
>> setzten, es geht relativ schnell bis man sich ausgesperrt hat.
>> Musste ich schon feststellen :D
>>     
> Dürfte recht problematisch werden wenn die Kiste in irgendeinem RZ steht
>  wo man sich von Zuhause einloggen mag. Dann schlägt mal wieder Mr.
> Dynamic IP zu und dann kannste das knicken und probieren von einem
> anderen Server des selben Netzes die Verbindung aufzubauen und dich
> selbst wieder zu etablieren. Da empfiehlt sich ein Reverse Lookup via
> DynDNS oder sonne Driss für die Home Leitung :-)
>
>   
>> Gruss
>>     
>
> Greetings
>
> - --
>
> GPG:   http://pgpkeys.pca.dfn.de/pks/lookup?search=0x941F1883
>
> - --
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.7 (MingW32)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
>
> iD8DBQFHFioXPmR91pQfGIMRAuVlAJ4wktXjite2XCG/QLmoNfe4PMHWmACgg0KR
> Jj+FJZwwVU2sSerPjjAI1Zw=
> =A3XB
> -----END PGP SIGNATURE-----
>   
korrekt!

oder meine lösung:
Webserver in perl schreiben (module in cpan vorhanden und echt easy)
der webserver in perl schreibt eine regel in die iptables das der host 
sich 5min lang anmelden darf via ssh, ansonsten bleibt der port immer 
geschlossen.

grüße aus düsseldorf ;-)

Marc
-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] SSH Ban nach 3 Anmeldeversuchen

[Bernd Wurst]

[-- Attachment #1: Type: text/plain, Size: 1420 bytes --]

Hallo.

Am Mittwoch, 17. Oktober 2007 schrieb webmaster@saschasworld.de:
> ich meine vor einiger Zeit hier auf der Liste gelesen zu haben, dass
> empfohlen wurde, root-server mit einem automatischen IP-Ban Programm
> auszustatten, welches nach 3 erfolglosen SSH Logins auslöst und
> entsprechend die IP sperrt(IPTables?). Leider ist mir der Name von dem
> Programm entfallen, könnt ihr mir bitte auf die Sprünge helfen? ;)

Oder du sorgst einfach dafür, dass deine SSH-fähigen Useraccounts 
(Hint: "AllowGroups") ausnahmslos brauchbare Passwörter haben und es mit 
Trial&Error eben nicht klappt. Das wäre für die Gesamt-Stabilität des Systems 
vermutlich mehr Wert.

Ich kenne bisher keinen Fall, bei dem eine vernünftig konfigurierte Kiste mit 
eingespielten Sicherheits-Updates aufgrund von SSH-Brute-Force-Attacken 
aufgemacht wurde. Diese Attacken betreffen i.d.R. Debian-, Red-Hat- oder 
SuSE-Standard-Accounts mit leeren oder trivialen Passwörtern wie sie AFAIK 
seit einiger Zeit zum Glück auch nicht mehr verwendet werden.

Und das Argument, dass die Logfiles immer so voll werden ist auch nicht so 
wirklich zugkräftig, das kann man ja rotieren und filtern. 
Die Nebenwirkungen wenn du dir oder deinen Benutzern unabsichtlich das SSH 
zudrehst sind IMHO nicht akzeptabel.

cu, Bernd

-- 
Die meisten Politiker sind Männer der Mitte,
weil sie sich hinten und vorne nicht auskennen.

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 827 bytes --]

Re: [gentoo-user-de] SSH Ban nach 3 Anmeldeversuchen

[Hans-Werner Hilse]

Hi,

On Wed, 17 Oct 2007 18:33:14 +0200 Bernd Wurst <bernd@bwurst.org> wrote:

> Oder du sorgst einfach dafür, dass deine SSH-fähigen Useraccounts 
> (Hint: "AllowGroups") ausnahmslos brauchbare Passwörter haben und es
> mit Trial&Error eben nicht klappt. Das wäre für die Gesamt-Stabilität
> des Systems vermutlich mehr Wert.

Oder noch besser: keine Passwörter. Ist ausserdem eine prima Methode,
sich Newbs vom Hals zu halten: kommt die Mail "kann ich Zugang auf
deinem Server haben?" kann man schön zurückschreiben "klar, schick' mir
den public key". Kommt dann ein "Haeh?", hat man guten Grund zu fragen,
ob die andere Seite sich auch wirklich fähig fühlt, mit SSH und der
Shell umzugehen...

> Und das Argument, dass die Logfiles immer so voll werden ist auch
> nicht so wirklich zugkräftig, das kann man ja rotieren und filtern. 

Ja. Mit syslog-ng ist das schon mal gar kein Problem.

> Die Nebenwirkungen wenn du dir oder deinen Benutzern unabsichtlich
> das SSH zudrehst sind IMHO nicht akzeptabel.

Stimmt. Und mich bezahlt auch niemand dafür, in den Serverraum zu
latschen, weil ich so paranoid war, mich selbst auszusperren.


Ich halte mich mit diesem Rat aber meist zurück, da Leute, die paranoid
sein wollen meist nur noch paranoider werden, wenn man versucht, ihnen
die Paranoia auszureden. Soll'n 'se doch 'n bisschen was lernen...

-hwh
--
gentoo-user-de@gentoo.org mailing list