Server-Sicherheit

Helmut Hullen HHullen_BS at T-online.de
Mi Apr 5 11:18:00 CEST 2006 

Hallo, Florian,

Du meintest am 05.04.06 zum Thema Re: Server-Sicherheit (was: Re: Software zur Auswertung von Linux Log files):

>> Bekomme in letzten Zeit immer so merkwürdige Einträge im Log:
>> Mar 23 04:57:12 s1 sshd[30955]: Illegal user adam from
>> ::ffff:219.232.118.3
>> Mar 23 04:57:12 s1 sshd[30955]: input_userauth_request: illegal
>> user adam

> Das sind dictionary attacks. Automatische scripts die alle
> moeglichen logins/password kombinationen durchprobieren. Ich habe
> das geloest in dem ich via tcp-wrapper die ip address ranges von
> denen logins erlaubt sind drastisch eingeschraenkt habe. Lieber ein
> 62.0.0.0/8 freigeben als 0.0.0.0/0. Ist immerhin nur ein 255tel des
> IP Addressraums ...

In diesem Fall ist "iptables" einfacher.
Da gibt es die Möglichkeit, dass der Zugang blockiert wird, wenn  
(z.B.) mehr als 3 solche Versuche binnen 60 Sekunden auflaufen.

Funktioniert hier bestens - "/var/log/messages" liefert nur 1 Eintrag.

Muster (muss für "skolelinux" ein wenig umgearbeitet werden):

# Den SSH-Zugang freigeben
WAN=ppp0 ippp0
test "$ACCESS_SSH" = yes && \
        for Interf in $WAN; do
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
        -m recent --set --name SSH
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
        -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name SSH \
        -j REJECT --reject-with tcp-reset
$IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \
        -j ACCEPT
   done

# Florian Frank in der "linuxmuster"-Mailingliste, 17. Sept. 2005
# pro Absender-IP max. 3 Verbindungsanfragen pro Minute; blockt Skript-Kiddies
# "rcheck" statt "update": Sven Geggus, 22. Sept. 05,
# de.comp.os.unix.networking.misc

------------------------

Diese Zeilen haben hier und an etlichen Nachbarschulen die "/var/log/ 
messages" erheblich verschlankt; bei einer Nachbarschule hatte ich  
(vorher) im Logfile vom 6.12.2005 mehr als 5000 Versuche gesehen. Und  
"nur" 1000 Versuche am Stück hatte ich oft gesehen.

Es hilft nicht gegen einen Idioten, der über einen Bereich von IP- 
Adressen verfügt und seinen Automaten so eingestellt hat, dass diese  
Adressen der Reihe nach gezeigt werden - hatte ich vor wenigen Tagen.  
Da hilft "Vollblock" in der "iptables"-Konfiguration: da kannst Du  
Adressbereiche einfach sperren. Einfacher als in "/etc/hosts.allow".


Viele Gruesse!
Helmut