• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

sshd-Probleme

T

tuner

Member
hy,

mein sshd gibt folgende Fehlermeldungen aus (SuSE 10.1):
Code: 
Jun 11 09:29:12 jessie sshd[10217]: error: getnameinfo failed
Jun 11 09:29:12 jessie sshd[10217]: Server listening on :: port 2342.
Jun 11 09:29:12 jessie sshd[10217]: error: Bind to port 2342 on 0.0.0.0 failed: Address already in use

den zweiten Fehler kann ich mit
Code: 
sshd -4
beheben, aber es bringt nichts.

Was ist dieser 'getnameinfo failed'-Fehler, wie kann ich den beheben?

Gruss, Toni.
 
OP
T

tuner

Member
hy, ich hab's

Code: 
'Geraten' sage ich mal.... Problem mit DNS Namensauflösung (eventuell auf mit reverse name lookup also IP-Adresse -> Hostname)
Gut geraten. nscd war abgestürzt, aufgrund von einer umkonfiguration. wär so schnell glaub nicht drauf gekommen.

Code: 
Wieso versucht der Server sich auf ipv6-Port 2342 zu binden? Der gehoert doch auf 22...
naja, Ports bei solchen dingen immer ändern..

gruss, und danke,
toni.
 
framp

framp

Moderator
Teammitglied
jengelh schrieb:
Das schützt doch vor nichts, und ist höchstens eine Maßnahme gegen ISP, die was sperren.
Zum Vergrößern anklicken....
Seitdem ich nicht mehr Port 22 fuer ssh benutze haben sich die ca 3-maligen ssh attacks pro Woche auf 0 reduziert. Das ist kein zusaetzlicher Schutz vor Profis - aber definitiv ein zusaetzlicher Schutz vor den unzaeligen ScriptKiddies :wink:
 
S

spoensche

Moderator
Teammitglied
Wenn man wahlos den zugriff vom inet auf den sshd port zulässt ist das wohl logisch das skrippt kiddies da was versuchen. Wie wäre es denn mal mit ner vernünftigen firewall einstellung?? spätestens nach nem scan geht das ganze sonst nämlich eh wieder von vorne los, port wechsel ist nur ne verzögerung.
 
framp

framp

Moderator
Teammitglied
Code: 
iptables -I INPUT -p tcp --dport xxx -m state --state NEW -m recent --set --name SSH
iptables -I INPUT -p tcp --dport xxx -m state --state NEW -m recent --update --seconds 1500 --hitcount 2 --rttl --name SSH -j
 LOG --log-prefix SSH_brute_force
iptables -I INPUT -p tcp --dport xxx -m state --state NEW -m recent --update --seconds 1500 --hitcount 2 --rttl --name SSH -j
 DROP
sorgt fuer Ruhe. Da ich aber parallel alle externen ssh Zugriffe protokolliere ist das LOG bei Port xxx fuer sshd nur noch mit meinen externen Zugriffen gefuellt. Ansonsten ist Ruhe. 8)
Wahllos lasse ich keinen Zugriff zu: Der einzige ist der Port xxx. Alles Andere laeuft ueber ssh Tunneling. :roll:
 
OP
T

tuner

Member
hört sich gut an.

mein Problem besteht jedoch immer noch, hat sich jedoch relativiert. Inzwischen funktioniert nämlich ssh.

ich hatte mein /var-Verzeichniss verschoben und verlinkt /PATH/var -> var.
manche dienste sind wohl mit dem softlink nicht zurecht gekommen, so dass ich /PATH/var als Ziel angeben musste, damit die Dienste ordnungsgemäss starten.

seit dem ist das Problem mit dem ssh-Zugiff behoben, die Fehlermeldung kommt aber immer noch.
Ich bezweifle auch, das diese daher rührt.
 
S

spoensche

Moderator
Teammitglied
Ich meinte ja auch das der zugriff nur aus einem bestimmten netzwerkbereich bzw. von einer bestimmten ip zulässig ist. so kann jeder deiner server kontaktieren, der den port kennt.
 
A

Azhrarn

Newbie
Moin Forum!
Ich beschäftige mich zurzeit auch mit meinem Firewallskript und möchte es in soweit anpassen, dass eine IP gesperrt wird, wenn diese sich innerhalb einer Zeitspanne mehrmals versucht einzuloggen.

framp schrieb:
Code: 
iptables -I INPUT -p tcp --dport xxx -m state --state NEW -m recent --set --name SSH
iptables -I INPUT -p tcp --dport xxx -m state --state NEW -m recent --update --seconds 1500 --hitcount 2 --rttl --name SSH -j LOG --log-prefix SSH_brute_force
iptables -I INPUT -p tcp --dport xxx -m state --state NEW -m recent --update --seconds 1500 --hitcount 2 --rttl --name SSH -j
 DROP
Zum Vergrößern anklicken....

Was genau passiert bei diesen Regeln? Ich verstehe das so: Jeder Versuch an den Port 22 zu kommen wird mit SSH markiert. Kommt das innerhalb von 25!!! Minuten 2 mal vor, wird gedroppt. Dann wäre mein berechtigter Login aber auch gesperrt oder? Warum ein INSERT CHAIN und nicht APPEND CHAIN?

Wäre das so auch ok?

Code: 
$IPTABLES -N ssh_gate
$IPTABLES -A OUTPUT -p tcp -m state --state NEW --dport 22 -j ssh_gate
$IPTABLES -A INPUT  -p tcp -m state --state NEW -s $LOC_NET -d $IP_LAN --dport 22 -j ssh_gate
$IPTABLES -A INPUT  -p tcp -m state --state NEW -d $IP_INET --dport 22 -m recent --set --name SSH
$IPTABLES -A INPUT  -p tcp -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --rttl --name SSH -j LOG --log-prefix "IPTABLES SSH Brute-Force: "
$IPTABLES -A INPUT  -p tcp -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --rttl --name SSH -j DROP
$IPTABLES -A INPUT  -p tcp -m state --state NEW -d $IP_INET --dport 22 -j ssh_gate
$IPTABLES -A ssh_gate -j ACCEPT
 
framp

framp

Moderator
Teammitglied
Azhrarn schrieb:
Was genau passiert bei diesen Regeln? Ich verstehe das so: Jeder Versuch an den Port 22 zu kommen wird mit SSH markiert.
Zum Vergrößern anklicken....
Ja
Kommt das innerhalb von 25!!! Minuten 2 mal vor, wird gedroppt.
Zum Vergrößern anklicken....
Ja
Dann wäre mein berechtigter Login aber auch gesperrt oder?
Zum Vergrößern anklicken....
ja. Die 1500 gibt an in welcher Zeit eine bestimmte Anzahl Versuche erlaubt ist. D.h. aber auch dass dann ein erneuter Versuch erst nach 1500 Sekunden moeglich ist.
Warum ein INSERT CHAIN und nicht APPEND CHAIN
Zum Vergrößern anklicken....
Das haengt davon ab wie die Rules aufgesetzt sind. Spezielle rules -> allgemeine rules -> drop alles (append) oder drop alles -> allgemeine rules -> spezielle rules (insert).

Wäre das so auch ok?
Zum Vergrößern anklicken....
Ja, dann aber nur 5 Minuten. Aber ich denke das reicht auch fuer Scriptkiddies.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben