Re: SSH-Server auf Angriff e prüfen.
Hallo Niels, Niels Stargardt, 09.09.2006 (d.m.y): ich habe einen öffentlich zugänglichen SSH-Server (tine). Dieser wird per autossh regelmäßig von meinem Arbeitsplatzrechner (mit Einverständnis des Arbeitgebers) kontaktiert. Zur Zeit habe ich folgende Sicherheitsmaßnahmen 1. Ein Login ist nur per public-key möglich. OK. 2. Der Key der für autossh genutzt wird (und kein Passwort haben kann) ist für einen Benutzer, der als Shell /bin/false hat, so dass damit keiner Unfug treiben kann, außer Ports weiterzuleiten. OK. Ich würde eigentlich gerne sicherstellen, dass nur Ports in die ein Richtung gefordert werden, also wenn ich mich intern an tine wende, dass die zum Firmenrechner geforwardet werden. Geht das? Meinst Du PortForwarding? Oder schwebt Dir eine generelle Beschraenkung des SSH-Logins auf einen bestimmten Rechnerkreis vor? Letzteres kannst Du durch entsprechende Eintraege in /etc/hosts.allow bzw. /etc/hosts.deny erreichen. Zusaetzlich koenntest Du mit iptables einen Paketfilter drumherumstricken. Das zweite was mir noch wichtiger ist. Wie kann ich erkennen, ob jemand versucht über meinen SSH-Server einzudringen? Du koenntest Dir mit logwatch eine taegliche Zusammenfassung (nicht nur der SSH-Logins) schicken lassen. Gruss, Christian Schmidt -- Nichts vermittelt so sehr das Gefühl von Unendlichkeit als die menschliche Dummheit. -- Ödön von Horváth signature.asc Description: Digital signature
Re: SSH-Server auf Angriff e prüfen.
Moin Ich würde eigentlich gerne sicherstellen, dass nur Ports in die ein Richtung gefordert werden, also wenn ich mich intern an tine wende, dass die zum Firmenrechner geforwardet werden. Geht das? Meinst Du PortForwarding? Oder schwebt Dir eine generelle Beschraenkung des SSH-Logins auf einen bestimmten Rechnerkreis vor? Ich meine das PortForwarding. Durch den Tunnel soll mir zwar ein Port angeboten werden, aber es soll nicht möglich sein vom Rechner der sich per SSH einloggt, Ports zu meinem Rechner zu leiten. Das zweite was mir noch wichtiger ist. Wie kann ich erkennen, ob jemand versucht über meinen SSH-Server einzudringen? Du koenntest Dir mit logwatch eine taegliche Zusammenfassung (nicht nur der SSH-Logins) schicken lassen. Und was ist da der Suchbegriff? Mir ist selbst wenn ich mal einen Fehler beim Login gemacht habe, nichts aufgefallen. Niels -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH-Server auf Angriff e prüfen.
Hallo Niels, Niels Stargardt, 09.09.2006 (d.m.y): Ich würde eigentlich gerne sicherstellen, dass nur Ports in die ein Richtung gefordert werden, also wenn ich mich intern an tine wende, dass die zum Firmenrechner geforwardet werden. Geht das? Meinst Du PortForwarding? Oder schwebt Dir eine generelle Beschraenkung des SSH-Logins auf einen bestimmten Rechnerkreis vor? Ich meine das PortForwarding. Durch den Tunnel soll mir zwar ein Port angeboten werden, aber es soll nicht möglich sein vom Rechner der sich per SSH einloggt, Ports zu meinem Rechner zu leiten. Da bin ich ueberfragt... Das zweite was mir noch wichtiger ist. Wie kann ich erkennen, ob jemand versucht über meinen SSH-Server einzudringen? Du koenntest Dir mit logwatch eine taegliche Zusammenfassung (nicht nur der SSH-Logins) schicken lassen. Und was ist da der Suchbegriff? Mir ist selbst wenn ich mal einen Fehler beim Login gemacht habe, nichts aufgefallen. logwatch berichtet in der Standardkonfiguration ueber fehlerhafte und erfolgreiche SSH-Logins. Das kann dann bspw. so aussehen (arg gekuerzt mit Phantasiedaten versehen): # logwatch --service sshd --print ### LogWatch 5.2.2 (06/23/04) Processing Initiated: Sat Sep 9 13:16:59 2006 Date Range Processed: yesterday Detail Level of Output: 5 Logfiles for Host: foobar - SSHD Begin Failed logins from these: 1234/none from 123.123.123.123: 1 Time(s) Illegal users from these: 1234/none from 123.123.123.123: 2 Time(s) Users logging in through sshd: benutzer1: rechner.domain.de (123.123.123.122): 2 times -- SSHD End - Gruss, Christian Schmidt -- Fährt der Bauer Hafer ein, gibt's wochenlang nur Haferschleim. signature.asc Description: Digital signature
Re: SSH-Server auf Angriff e prüfen.
Hallo Christian logwatch berichtet in der Standardkonfiguration ueber fehlerhafte und erfolgreiche SSH-Logins. Das klingt gut. Das kann dann bspw. so aussehen (arg gekuerzt mit Phantasiedaten versehen): # logwatch --service sshd --print ### LogWatch 5.2.2 (06/23/04) Processing Initiated: Sat Sep 9 13:16:59 2006 Date Range Processed: yesterday Detail Level of Output: 5 Logfiles for Host: foobar - SSHD Begin Failed logins from these: 1234/none from 123.123.123.123: 1 Time(s) Illegal users from these: 1234/none from 123.123.123.123: 2 Time(s) Users logging in through sshd: benutzer1: rechner.domain.de (123.123.123.122): 2 times -- SSHD End - Ich habe es jetzt mal installiert und mehrere Anmeldeversuche gemacht: 1. ssh -lDenUserKenntErNicht 2. ssh -lHugo wobei bei Hugo keine Schlüssel ~/.ssh/authorized_keys hat. Obiger Befehl meldet nur Erfolgreiche Versuche :-( lediglich den 1. Angriff habe ich im auth.log als Unkown-User bemerkt. Ist das noch woanders was einzustellen? Niels -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)