• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

ssh_config sshd_config

R

rakl

Newbie
Lässt sich für ssh die Anzahl der Loginversuche auf 1 begrenzen und nach erfolglosem Loginversuch eine 10s Wartezeit bis zum nächsten Versuch?

Wenn ja, wo und wie in den /etc/ssh/ssh_config und /etc/ssh/sshd_config.
Bin da noch nicht so richtig schlau draus geworden.

Problem ist, dass mein Server seit einiger Zeit auf den ssh angegriffen wird, und ich es so dem Angreifer erschweren möchte.

Logfile (/var/log/messages) sieht so aus:

Code: 
-----------------------------CUT------------------------------------
Feb  9 14:23:05 Server sshd[31879]: Failed password for lp from ::ffff:210.3.7.199 port 2858 ssh2
Feb  9 14:23:08 Server sshd[31882]: Failed password for root from ::ffff:210.3.7.199 port 2932 ssh2
Feb  9 14:23:12 Server sshd[31884]: Failed password for man from ::ffff:210.3.7.199 port 3034 ssh2
Feb  9 14:23:12 Server sshd[31885]: Failed password for news from ::ffff:210.3.7.199 port 3042 ssh2
Feb  9 14:23:13 Server sshd[31888]: Failed password for mysql from ::ffff:210.3.7.199 port 3076 ssh2
Feb  9 14:23:14 Server sshd[31890]: Failed password for mail from ::ffff:210.3.7.199 port 3103 ssh2
-----------------------------CUT--------------------------------------
 
G

gaw

Hacker
Einstellungen die den eigenen Server betreffen werden grundsätzlich in der /etc/sshd_conf vorgenommen. Die /etc/ssh_conf steuert das Verhalten eines Client, dass heißt wenn man auf einen anderen Rechner über ssh zugreift. Dabei lassen sich die Einstellungen eines Servers nicht ausser Kraft setzen.

Es gibt eine Zeitsperre bei Login-Vorgängen Wenn ein unberechtigter Angreifer es bis Ablauf dieser Zeitsperre nicht geschafft hat sich einzuloggen, wird er abgewiesen. Die Variable nennt sich LoginGraceTime und steht standardmässig auf 120s. Das lässt sich auf 10s herunterstellen, man sollte nur sicherstellen, dass dies auch ausreicht.

Eine Beschränkung auf eine bestimmte Anzahl von Loginversuche ließe sich vielleicht über PAM realisieren, aber im Prinzip ist das auch nicht besonders wirksam. IP-Adressen lassen sich leicht fälschen.

Eine wesentlich bessere Sicherheitsmassnahme stellt die Verwendung von asymetrischen Schlüsselpaaren dar. Dabei erzeugt der Client einen Schlüssel und sendet dir den öffentlichen Teil. Du kannst die Schlüssel für jeden User separat einrichten. Dann können sich die Angreifer mit Buce Force die Zähne ausbeissen. Mit 2048 Bit Verschlüsselung und ssh2 keine Chance....

Wie sich so etwas einrichten lässt steht hier:
http://www.linux-club.de/viewtopic.php?t=17737

Mit freundlichen Grüßen
gaw
 
N

neo67

Member
Nimm einen Portknocker, der macht den Port erst auf, wenn eine bestimmte Sequenz kommt. Ansonsten ider Port ganz weg.
:)
 
G

gaw

Hacker
Auch dann muss er das auf allen Clients einrichten, warum dann nicht sofort die Möglichkeiten nutzen die openssh selbst anbietet?


Mit freundlichen Grüßen
gaw
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben