begrense pålogging med ssh

[Kaplan]

jeg har en server som av en eller annen grunn er blitt selveste favoritten til alle øst-asiatiske hackere. jeg har nå milevis med påloggingsforsøk i /var/log/auth.log av denne typen hver dag:

 

Klikk for å se/fjerne innholdet nedenfor

Feb 27 10:54:35 krister sshd[5942]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.10.254.205

Feb 27 10:54:38 krister sshd[5942]: Failed password for invalid user george from 221.10.254.205 port 53404 ssh2

Feb 27 10:54:41 krister sshd[5944]: Invalid user henry from 221.10.254.205

Feb 27 10:54:41 krister sshd[5944]: (pam_unix) check pass; user unknown

Feb 27 10:54:41 krister sshd[5944]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.10.254.205

Feb 27 10:54:43 krister sshd[5944]: Failed password for invalid user henry from 221.10.254.205 port 53560 ssh2

Feb 27 10:54:47 krister sshd[5946]: Invalid user john from 221.10.254.205

Feb 27 10:54:47 krister sshd[5946]: (pam_unix) check pass; user unknown

 

synes å ha hørt et sted at man kan begrense det slik at hver ipadresse får f.eks tre forsøk på å autentisere seg, og deretter må vente i 15 min eller så. det vil nok begrense trafikken litt, tenker jeg. noen som vet hvordan det gjøres?

[9001]

fail2ban funker fint til slikt, men det letteste å skifte sshd-port

[Kaplan]

ja men det er ikke et alternativ her. fant noe på linuxguiden:

/etc/ssh/sshd_config:

MaxAuthTries 2
LoginGraceTime 30

 

spørsmålet nå er om det er antall forsøk, og antall minutter til neste gang hvis mislykket?

[9001]

Hvorfor er ikke fail2ban et alternativ?

LoginGraceTime

            The server disconnects after this time if the user has not

            successfully logged in.  If the value is 0, there is no time limit.

            The default is 120 seconds.

 

MaxAuthTries

            Specifies the maximum number of authentication attempts permitted

            per connection.  Once the number of failures reaches half this

            value, additional failures are logged.  The default is 6.

[Kaplan]

å skifte port er ikke et alternativ

 

fail2ban vet jeg ikke noe om, prøver å lese meg litt opp på det nå. det er bare det at jeg synes å huske det var noe greier i /etc/ssh/sshd_config en kunne legge til for å begrense hvor mange påloggingsforsøk hver ip har, uten å måtte nekte noen ip'er å forsøke.

[iDude]

å skifte port er ikke et alternativ

 

fail2ban vet jeg ikke noe om, prøver å lese meg litt opp på det nå. det er bare det at jeg synes å huske det var noe greier i /etc/ssh/sshd_config en kunne legge til for å begrense hvor mange påloggingsforsøk hver ip har, uten å måtte nekte noen ip'er å forsøke.

8045573[/snapback]

Mulig sshd har noe som gjør dette, men om du er interessert i å grave deg litt ned i ting så skal PAM ha noe slikt. Se feks:

 

http://sial.org/howto/linux/pam_tally/

 

PAM er et sett med autentiseringsmoduler, og er ganske utbredt blant forskjellige linux-distroer. Kan brukes av mange forskjellige program, feks xscreensaver, sudo, sshd etc etc

Endret 28. februar 2007 av ibrotha

[Torbjørn]

Ikke glem AllowUsers også. Og hvis mulig, unngå et main-stream username.

 

tror ikke du er mer utsatt enn andre.

[Kaplan]

jeg gikk for fail2ban som ser ut til å funke bra. satte det slik at den tillater 5 påloggingsforsøk før du får 30 min ban. har allerede stengt ute et par ipadresser bare i dag!

[ways]

http://denyhosts.sourceforge.net/ funker veldig bra. laster ned lister over bannede ip'er, laster opp de som hamrer deg. virker veldig bra.

[krigun]

http://denyhosts.sourceforge.net/ funker veldig bra. laster ned lister over bannede ip'er, laster opp de som hamrer deg. virker veldig bra.

8061760[/snapback]

 

Du løser mye slik stress bare ved å tillate public/private key pålogging. Da skal man virkelig jobbe for å komme seg inn.

[AudunSæther]

Henger meg på denyhosts, den fungerer utrolig bra.