sshd-Config frage...

Re: sshd-Config frage...

W140 — Sun, 19 Feb 2006 11:54:45 GMT

http://www.snort.org/

Re(4): sshd-Config frage...

gepeinigter_aon_neukunde — Sun, 19 Feb 2006 10:17:16 GMT

Nein...

Sobald du sowohl Password Authentication als auch ChallengeResponse auf No setzt, funktioniert es insoweit super, als Beispielsweise deine PuTTY sofort abbricht, wenn du keinen Key via Pageant mitliefern kannst... Allerdings entsteht dann eben kein Log-Eintrag. Es scheint so, als ob der sshd die Verbindung dann beendet, bevor es zu einem Log-Eintrag kommt... Drum war ja meine Frage, ob es eine Option im Config-File gibt, die schon den Verbindungsaufnahme-Versuch protokolliert...

Re(3): sshd-Config frage...

Robe — Sun, 19 Feb 2006 04:27:48 GMT

D.h. sobald beides deaktiviert ist ersetzt er die IP durch die Underscores? Witzig.

Wenn dem so ist, solltest einen Bug gegen dein Distro-package melden...

Re(2): sshd-Config frage...

gepeinigter_aon_neukunde — Sun, 19 Feb 2006 02:00:29 GMT

Bei mir hat's so ausgesehen wie bei Dir - allerdings nur solange, bis ich sowohl Challenge-Response als auch Password-Authentication deaktivierte...

Und iptables-Blocken kann ich net machen - wir arbeiten von mehreren Ländern auf dem Server, und ein paar Dialups sind auch dabei... Sonst hätt' ich's eh schon so gelöst.

Re: sshd-Config frage...

Robe — Sat, 18 Feb 2006 23:56:36 GMT

Ad logfileeinträge: Schon in den anderen Logs geschaut? Manche distros liefern da suboptimale log-level basierende setups aus...

Bei mir (openssh 4.2p1 mit PAM-auth) sieht das so aus:

Feb 19 00:47:37 trottelkunde sshd[5090]: Invalid user nwes from 202.83.164.14
Feb 19 00:47:38 trottelkunde sshd[5090]: (pam_unix) check pass; user unknown
Feb 19 00:47:39 trottelkunde sshd[5090]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.83.164.14
Feb 19 00:47:39 trottelkunde sshd[5090]: Failed password for invalid user nwes from 202.83.164.14 port 49681 ssh2

Bezgl. deiner zweiten Frage:

ChallengeResponseAuthentication dürfte PAM Authentifizierung betreffen und bei PasswordAuthentication geht der sshd "direkt eine" (in die passwd/shadow bzw. equivalente files bei anderen unices).

Aus der sshd_config manpage:

     UsePAM  Enables the Pluggable Authentication Module interface.  If set to
             ``yes'' this will enable PAM authentication using
             ChallengeResponseAuthentication and PAM account and session mod-
             ule processing for all authentication types.

             Because PAM challenge-response authentication usually serves an
             equivalent role to password authentication, you should disable
             either PasswordAuthentication or ChallengeResponseAuthentication.

Bei hinreichend sicheren Passwörtern solltest du jedenfalls keine Probleme haben, da diese sshd-scanner nur "gängige" Benutzernamen und Passwörter durchprobieren (irgendwo gabs mal einen Artikel wo jemand eine Statistik über die probierten Passwörter gesammelt hat).

Das ganze via iptables zu blocken kann Sinn machen (geht halt nur wenn der Addressraum aus dem man connecten möchte überschaubar ist oder man sich mit Sachen wie port knocking anfreunden kann...)

sshd-Config frage...

gepeinigter_aon_neukunde — Sat, 18 Feb 2006 18:05:34 GMT

Hi !

Nachdem ja jetzt vermehrt Dictionary-Angriffe per ssh stattfinden a la "Versuche User test/test, aaron/aaron, berta/berta, .." - wollte ich das ganze jetzt einfacher gestalten und erlaube nur noch Public-Private-Key authentication auf dem Server.

Meine Fragen nun:
Bisher habe ich in meinen Logfiles 1000e Zeilen gefunden a la


Dec 26 12:17:13 nessler sshd[2714]: Invalid user staff from _______
Dec 26 12:17:17 nessler sshd[2716]: Invalid user sales from _______
Dec 26 12:17:20 nessler sshd[2718]: Invalid user recruit from _______
Dec 26 12:17:23 nessler sshd[2720]: Invalid user alias from _______
Dec 26 12:17:28 nessler sshd[2722]: Invalid user office from _______
Dec 26 12:17:32 nessler sshd[2724]: Invalid user samba from _______

Mich würde nach wie vor interessieren, von welcher IP solche Versuche stattfinden, allerdings erhalte ich jetzt keine Logfileeinträge, daß es einer mit einer unsopporteten authentication method probierte. Wie kann ich die sshd_config so modifizieren, daß auch so etwas geloggt wird ?

Zweiter Punkt:
Definitiv reichte ein Umstellen von "PasswordAuthentication" auf "no" nicht - zusätzlich mußte ich "ChallengeResponseAuthentication" auf "no" setzen. Was genau ist der Unterschied zwischen ChallengeResponseAuthentication und PasswordAuthentication ?