forsøk på å få root-tilgang

[petterg]

Ser i loggen på den ene serveren min at noen har hatt en rekke oppkoblinger via ssh og forsøkt å logge inn som root. Det er ingen vellykede forsøk, men skulle gjerne ha gjort noe med det.

 

1) Skulle gjere ha satt opp systemet slik at dersom noen forsøker med feil passord 3 ganger innenfor et gitt tidsrom skal alle forbindelser med den IP'n sperres. Ikke bare ssh, men alle protokoller inkl http. Hvordan kan jeg sette opp dette? Må vel være et samarbeid mellom PAM og iptables?

 

2) IP'n i loggen min tilhører sikkert en intetanende person som har fått uvedkommende folk på maskina si. Skulle da gjerne sendt en mail til vedkommendes ISP slik at de kan rydde opp i forholdet. Hvordan finner jeg riktig ISP? Prøvde meg med traceroute, men ingen av de siste ip'ne langs ruta gir noen oppslag på dns! IP'n til vedkommende er 202.96.126.108.

 

3) Jeg gjør endel sftp og scp filoverføringer som krever innlogging som root. Ellers ville jeg hatt root innlogging sperret slik at man må logge inn som en wheel-bruker og kjøre su for å få root tilgang. Finnes det noen måte å benytte su via sftp / scp? Altså at klienten først logger inn som wheel-bruker og deretter gjør en su før filoverføringen starter?

[Langbein]

Tror ikke openssh har noen slike muligheter for å sperre ip'er.

 

Men du bør ihvertfall ha et meget sikkert root-passord på minst 8 tegn (vilkårlig blanding av store og små bokstaver, tall og spesialtegn). Man kan jo selv regne litt kombinatorikk og se hvor mange mulige passord man får. Openssh stenger vel forbindelsen etter 3 gale passord, så man må da opprette ny forbindelse for å fortsette å bruteforce. Så selv om man kjører et script tviler jeg på om noen vil komme inn så lenge passordet er langt nok.

 

Hvis du har mulighet for det bør du bruke public/private key autentisering istedenfor passord. Dette er både sikrere og mer praktisk siden man slipper å skrive inn passord hele tida. Hvis du klarer deg helt uten passord kan du disable det i sshd.conf

 

En annen mulighet som jeg benytter, er å kjøre tjenester på ikke-standard porter slik at tilfeldige folk ikke kan kjøre en kjapp portscan og finne tjenestene mine. De må isåfall scanne alle porter, og det tar lang tid. Men mange liker ikke denne form for sikkerhet og kaller det security through obscurity. Vel, i mitt tilfelle er jeg faktisk ofte nødt til det fordi ISP'en min blokkerer endel vanlige "server-porter" for ftp, http osv.

[petterg]

Kjører minst 12 tegn for root passord på alle maskiner, så sansynligheten for at noen skulle treffe er ganske liten, men liker likevel ikke at noen prøver.

Denne personen har bare prøvd ett passord og brutt forbindelsen - nøyaktig 4 sekunder sener har det kommet nytt forsøk. Når det pågår i et par timer blir det mange passord.

Hadde håpet det gikk an å benytte PAM til å kjøre et script som f.x gir en ekstra regel til iptables når det kommer 3 misslykkede forsøk fra samme ip i løpet av en tidsperiode. Gjerne også slik at den synkroniserer med de andre serveren om ip blokering.

[olear]

Du kan jo slå av for innlogging av root gjennom ssh.

[meastp]

Du kan jo slå av for innlogging av root gjennom ssh.

3) Jeg gjør endel sftp og scp filoverføringer som krever innlogging som root.

 

Les før du svarer, da.

[olear]

Sorry, da.

 

Angående sikkerhet så er det veldig dumt at root har tilgang til å logge inn. Jeg bruker SSH/SCP daglig uten behov for root.

[kyrsjo]

For å gjøre ting vanskeligere kan du jo ha en annen bruker med et annet brukernavn med uid# = 0. Så brukeren vil ha root-tilgang, og ikke ha et standard-navn => vanskeligere å gjette....

[petterg]

For å gjøre ting vanskeligere kan du jo ha en annen bruker med et annet brukernavn med uid# = 0. Så brukeren vil ha root-tilgang, og ikke ha et standard-navn => vanskeligere å gjette....

Det er faktisk et veldig godt forslag!

Kan man bare endre brukernavn for root uten å skape problemer, eller må det gjøres på en bestemt måte?

Foresten - mente du å forandre brukernavnet på root, eller endre UID på root, og opprette en ny bruker med UID=0?

 

Jeg kunne ha klart å utføre SCP/SFTP uten å logge inn som root, men det vil resultere i at filer må flyttes og endre eierskap i ettertid - blir litt klønete.

[objorkum]

Såg på loggen min frå i natt at ein IP frå Fillipinene prøvde diverse brukarnamn på serveren min:

 

Dec 21 05:02:01 tux sshd[10739]: Did not receive identification string from 202.164.165.50
Dec 21 05:09:14 tux sshd[10740]: Illegal user jordan from 202.164.165.50
Dec 21 05:09:14 tux sshd[10740]: Failed password for illegal user jordan from 202.164.165.50 port 34123 ssh2
Dec 21 05:09:17 tux sshd[10742]: Illegal user michael from 202.164.165.50
Dec 21 05:09:17 tux sshd[10742]: Failed password for illegal user michael from 202.164.165.50 port 34176 ssh2
Dec 21 05:09:21 tux sshd[10744]: Illegal user nicole from 202.164.165.50
Dec 21 05:09:21 tux sshd[10744]: Failed password for illegal user nicole from 202.164.165.50 port 34212 ssh2
Dec 21 05:09:24 tux sshd[10746]: Illegal user daniel from 202.164.165.50
Dec 21 05:09:24 tux sshd[10746]: Failed password for illegal user daniel from 202.164.165.50 port 34249 ssh2
Dec 21 05:09:28 tux sshd[10748]: Illegal user andrew from 202.164.165.50
Dec 21 05:09:28 tux sshd[10748]: Failed password for illegal user andrew from 202.164.165.50 port 34279 ssh2
Dec 21 05:09:32 tux sshd[10750]: Illegal user nathan from 202.164.165.50
Dec 21 05:09:32 tux sshd[10750]: Failed password for illegal user nathan from 202.164.165.50 port 34334 ssh2
Dec 21 05:09:35 tux sshd[10752]: Illegal user matthew from 202.164.165.50
Dec 21 05:09:35 tux sshd[10752]: Failed password for illegal user matthew from 202.164.165.50 port 34373 ssh2
Dec 21 05:09:38 tux sshd[10754]: Illegal user magic from 202.164.165.50
Dec 21 05:09:38 tux sshd[10754]: Failed password for illegal user magic from 202.164.165.50 port 34413 ssh2
Dec 21 05:09:42 tux sshd[10756]: Illegal user lion from 202.164.165.50
Dec 21 05:09:42 tux sshd[10756]: Failed password for illegal user lion from 202.164.165.50 port 34455 ssh2
Dec 21 05:09:46 tux sshd[10758]: Illegal user david from 202.164.165.50
Dec 21 05:09:46 tux sshd[10758]: Failed password for illegal user david from 202.164.165.50 port 34491 ssh2
Dec 21 05:09:50 tux sshd[10760]: Illegal user jason from 202.164.165.50
Dec 21 05:09:50 tux sshd[10760]: Failed password for illegal user jason from 202.164.165.50 port 34551 ssh2

 

Osv osv. 4 sekunds mellomrom...

Endret 21. desember 2004 av objorkum

[Gronz]

4 sekunder = tiden mellom hvert mulige forsøk på innlogging?

[Mortal]

Ville det vært en mulighet å sperre for innlogging som root, så kan du heller su-e til root?

[WonderBjarne]

Slike logger pleier jeg også å få. Det er vel relativt liten sjangs for at noen klarer å gjette passordet sånn uten videre. Hvertfall hvis passordet er passe langt med en blanding av tall og bokstaver. Nå har jeg også gjort slik at man ikke kan logge seg på direkte med root så jeg føler meg ganske trygg, men man vet jo aldri...

 

Men de som prøver å koble seg opp på serveren, er ikke det slike boter/programmer som tråler nettet for å prøve og finne maskiner som de kan logge seg på...?

[Gjest Slettet+432]

eh... hvor ligger den loggen egentlig?

[objorkum]

eh... hvor ligger den loggen egentlig? 

/var/log/messages er vel vanleg...

 

tail -f /var/log/messages

 

Er ein fin kommando.

Endret 21. desember 2004 av objorkum

[Langbein]

Ang gjetting av passord, så bruker jeg normalt 8 tegn, unntatt kanskje root som kan ha 8-10 tegn.

 

Grovt regnet har man ca 100 ulike tegn til disposisjon (små/store bokstaver, tall og spesialtegn), så 8 tegn skulle gi:

 

100^8 = 10 000 000 000 000 000 = 10 billiarder

 

Dette forutsetter at man virkelig har plukket ut tegnene tilfeldig da. Det er ihvertfall mange jeg kjenner som ikke akkurat gjør det

 

 

Hvis noen bruteforcer et passord hvert 4. sekund tar det 1 268 391 679 år å prøve alle kombinasjoner.

Endret 21. desember 2004 av Langbein

[kyrsjo]

Det jeg mente var:

- La root være lokalt, og sperr ssh inn mot root.

- Lag en ny bruker - la oss kalle denne petterg-root - og sett den til å ha uid# = 0 (mekk /etc/passwd) og ellers alt (hjemmekatalog etc) på samme måte som root.

[Zenit]

En annen mulighet er å kun åpne for SSH-tilgang fra bestemte IP-adresser ( i en firewall el. hosts.allow ). På denne måten eksponerer du SSH-tjenesten kun mot maskiner som du til en viss grad kan stole på. Må du plutselig ha tilgang til SSH fra en ukjent maskin, ja da kan du først logge inn på den maskinen som du vet at vil få tilgang og endre litt på reglene i firewallen. Ikke sikkert at dette er en løsning for deg, og noen vil si at det er litt tungvint ( og kanskje dumt, hvis du endrer feil på reglene i firewallen og låser deg selv ute

 

Public/private key autentisering har vært nevnt, ellers synes jeg at du bør gjøre en liten innsats for å legge opp til å overføre filer som en vanlig bruker. Jo færre ganger du eksponerer ditt root-passord på ukjente maskiner, jo mindre sjans for misbruk.

[iDude]

Med ssh har du både nøkler for bruker og for maskiner, skal vel være mulig å kun tillate innlogging fra maskiner med gitte host-keys...

Endret 21. desember 2004 av ibrotha

[petterg]

Det jeg mente var:

- La root være lokalt, og sperr ssh inn mot root.

- Lag en ny bruker - la oss kalle denne petterg-root - og sett den til å ha uid# = 0 (mekk /etc/passwd) og ellers alt (hjemmekatalog etc) på samme måte som root.

Man kan vel ikke ha flere brukere med samme UID? Altså må uid på root endres for å lage en ny bruker med uid=0. Da mister vel root root-tilgangen? (Er jeg helt på jordet?)

[olear]

Må du ha root tilgang for å overføre filer da?