sshd-Config frage...
Geizhals Preisvergleich Impressum | Werbung
 
Geizhals » Forum » Security & Viren » sshd-Config frage... (6 Beiträge, 136 Mal gelesen) Top-100 | Fresh-100
Du bist nicht angemeldet. [ Login/Registrieren ]
^ Forum  Security & Viren  #3215769
sshd-Config frage...
gepeinigter_aon_neukunde
18.02.2006, 19:05:34
Hi !

Nachdem ja jetzt vermehrt Dictionary-Angriffe per ssh stattfinden a la "Versuche User test/test, aaron/aaron, berta/berta, .." - wollte ich das ganze jetzt einfacher gestalten und erlaube nur noch Public-Private-Key authentication auf dem Server.

Meine Fragen nun:
Bisher habe ich in meinen Logfiles 1000e Zeilen gefunden a la

Dec 26 12:17:13 nessler sshd[2714]: Invalid user staff from _______
Dec 26 12:17:17 nessler sshd[2716]: Invalid user sales from _______
Dec 26 12:17:20 nessler sshd[2718]: Invalid user recruit from _______
Dec 26 12:17:23 nessler sshd[2720]: Invalid user alias from _______
Dec 26 12:17:28 nessler sshd[2722]: Invalid user office from _______
Dec 26 12:17:32 nessler sshd[2724]: Invalid user samba from _______


Mich würde nach wie vor interessieren, von welcher IP solche Versuche stattfinden, allerdings erhalte ich jetzt keine Logfileeinträge, daß es einer mit einer unsopporteten authentication method probierte. Wie kann ich die sshd_config so modifizieren, daß auch so etwas geloggt wird ?

Zweiter Punkt:
Definitiv reichte ein Umstellen von "PasswordAuthentication" auf "no" nicht - zusätzlich mußte ich "ChallengeResponseAuthentication" auf "no" setzen. Was genau ist der Unterschied zwischen ChallengeResponseAuthentication und PasswordAuthentication ?
Antworten PM Übersicht Chronologisch
 
Melden nicht möglich
.
^ Forum  Security & Viren  #3216536
Re: sshd-Config frage...
Robe Homepage
19.02.2006, 00:56:36
Ad logfileeinträge: Schon in den anderen Logs geschaut? Manche distros liefern da suboptimale log-level basierende setups aus...

Bei mir (openssh 4.2p1 mit PAM-auth) sieht das so aus:

Feb 19 00:47:37 trottelkunde sshd[5090]: Invalid user nwes from 202.83.164.14
Feb 19 00:47:38 trottelkunde sshd[5090]: (pam_unix) check pass; user unknown
Feb 19 00:47:39 trottelkunde sshd[5090]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.83.164.14
Feb 19 00:47:39 trottelkunde sshd[5090]: Failed password for invalid user nwes from 202.83.164.14 port 49681 ssh2

Bezgl. deiner zweiten Frage:

ChallengeResponseAuthentication dürfte PAM Authentifizierung betreffen und bei PasswordAuthentication geht der sshd "direkt eine" (in die passwd/shadow bzw. equivalente files bei anderen unices).

Aus der sshd_config manpage:

     UsePAM  Enables the Pluggable Authentication Module interface.  If set to
             ``yes'' this will enable PAM authentication using
             ChallengeResponseAuthentication and PAM account and session mod-
             ule processing for all authentication types.

             Because PAM challenge-response authentication usually serves an
             equivalent role to password authentication, you should disable
             either PasswordAuthentication or ChallengeResponseAuthentication.




Bei hinreichend sicheren Passwörtern solltest du jedenfalls keine Probleme haben, da diese sshd-scanner nur "gängige" Benutzernamen und Passwörter durchprobieren (irgendwo gabs mal einen Artikel wo jemand eine Statistik über die probierten Passwörter gesammelt hat).

Das ganze via iptables zu blocken kann Sinn machen (geht halt nur wenn der Addressraum aus dem man connecten möchte überschaubar ist oder man sich mit Sachen wie port knocking anfreunden kann...)


Google-Pagerank-Abuseage:
mirror
random crap
slackware mirror
Antworten PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
..
^ Forum  Security & Viren  #3216638
Re(2): sshd-Config frage...
gepeinigter_aon_neukunde
19.02.2006, 03:00:29
Bei mir hat's so ausgesehen wie bei Dir - allerdings nur solange, bis ich sowohl Challenge-Response als auch Password-Authentication deaktivierte...

Und iptables-Blocken kann ich net machen - wir arbeiten von mehreren Ländern auf dem Server, und ein paar Dialups sind auch dabei... Sonst hätt' ich's eh schon so gelöst.
Antworten PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
...
^ Forum  Security & Viren  #3216680
Re(3): sshd-Config frage...
Robe Homepage
19.02.2006, 05:27:48
D.h. sobald beides deaktiviert ist ersetzt er die IP durch die Underscores? Witzig.

Wenn dem so ist, solltest einen Bug gegen dein Distro-package melden...


Google-Pagerank-Abuseage:
mirror
random crap
slackware mirror
Antworten PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
....
^ Forum  Security & Viren  #3216928
Re(4): sshd-Config frage...
gepeinigter_aon_neukunde
19.02.2006, 11:17:16
Nein...

Sobald du sowohl Password Authentication als auch ChallengeResponse auf No setzt, funktioniert es insoweit super, als Beispielsweise deine PuTTY sofort abbricht, wenn du keinen Key via Pageant mitliefern kannst... Allerdings entsteht dann eben kein Log-Eintrag. Es scheint so, als ob der sshd die Verbindung dann beendet, bevor es zu einem Log-Eintrag kommt... Drum war ja meine Frage, ob es eine Option im Config-File gibt, die schon den Verbindungsaufnahme-Versuch protokolliert...
Antworten PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
.
^ Forum  Security & Viren  #3217184
Re: sshd-Config frage...
W140
19.02.2006, 12:54:45
http://www.snort.org/  ;-)
Antworten PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung