Login-Versuche bei SSH

Dieses Thema im Forum "Internet, lokale Netzwerke und Wireless Lan" wurde erstellt von larry, 08.01.2009.

  1. larry

    larry Tripel-As

    Dabei seit:
    27.11.2007
    Beiträge:
    159
    Zustimmungen:
    0
    Hoi,

    ich hatte mal auf einem System eingestellt, dass man sich 3mal einloggen kann, danach wird bei jedem nächsten Login-Versuch eine Zeit mit einem Faktor mulipliziert. So wird die Wartezeit zum nächsten Prompt immer länger.
    Wo kann ich das einstellen?
    Hab schon rumgesucht und das hier gefunden. Ist für JunOS, aber genau das suche ich.
    Schon mal Danke
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 Dizzy, 08.01.2009
    Zuletzt bearbeitet: 08.01.2009
    Dizzy

    Dizzy Brain Damage

    Dabei seit:
    02.05.2007
    Beiträge:
    857
    Zustimmungen:
    0
    Ort:
    Graz
  4. larry

    larry Tripel-As

    Dabei seit:
    27.11.2007
    Beiträge:
    159
    Zustimmungen:
    0
    Nutze OpenSSH.
    Hm... welche Option meinst du?
    man-page hab ich schon durchforstet.
     
  5. Gast1

    Gast1 Guest

    Und welchen Sinn soll diese ganze Aktion haben?

    Dienst ordentlich einrichten (Login nur als User, die Anzahl der berechtigten User beschränken, Rootlogin verbieten, nur keybasierter Login) und zurücklehnen (sofern man keine ungepatchte Debian-Version und schwache Keys verwendet).

    Damit ist die Zeit besser verwendet als mit irgendwelchen "Loginbremsen".

    Greetz,

    RM
     
  6. Akendo

    Akendo 4k3nd0

    Dabei seit:
    05.02.2008
    Beiträge:
    396
    Zustimmungen:
    0
    Also wenn ich das richtig verstand habe benutzt du OpenSSH (was sonst?) und hatte einmal einen eingerichtet SSH-Server welcher 3 Logins erlaubt und dann bei jeder weiter Login bis zu einem gewissen Zeitpunkt erlaubt? Die moechtest du nun auf einen Loaklen Server (wie auch immer) anweden.
    Also verweist du auf einem Link der etwas aehnlich Darstellen soll?
    Richtig verstanden?
     
  7. #6 keks, 09.01.2009
    Zuletzt bearbeitet: 09.01.2009
    keks

    keks nicht 1337 genug

    Dabei seit:
    17.01.2007
    Beiträge:
    401
    Zustimmungen:
    0
    Ort:
    Hessen
    Hallo,

    Vielleicht ist Fail2Ban das was du suchst.
    Ich setze das schon eine ganze Weile ein. Nicht nur für SSH sondern auch für Apache und Mailserver.

    Das Tool blockiert anhand frei definierbarer Regeln zugreifende IP-Adressen und gibt sie nach einer gewissen (konfigurierbaren!) Zeit wieder frei.
    Ganz nützlich um das sinnlose angehämmer mancher Script Kiddies, auf den sshD zu unterbinden.

    Keks
     
  8. Akendo

    Akendo 4k3nd0

    Dabei seit:
    05.02.2008
    Beiträge:
    396
    Zustimmungen:
    0
    hm....Wenn es das waere wuerde /etc/hosts.* (access/deny) ausreichen, Ich denke mal nicht dass, es das ist was er sucht.
    Aber Danke sowas hab ich gesucht xD.

    so far
    MFG Akendo
     
  9. keks

    keks nicht 1337 genug

    Dabei seit:
    17.01.2007
    Beiträge:
    401
    Zustimmungen:
    0
    Ort:
    Hessen
    Falsch. Ich will die Adressen ja nicht dauerhaft blockieren.
    Ausserdem will ich die Adressen nicht per Hand eintragen.
    Wie stellst du dir vor zu bemerken wenn sich ein host 3-n mal falsch anmeldet? Willst du die ganze Zeit vor deinem Rechner sitzen und ip's sperren und entsperren ;)?
     
  10. larry

    larry Tripel-As

    Dabei seit:
    27.11.2007
    Beiträge:
    159
    Zustimmungen:
    0
    Ich erkläres nochmal, hoffe es gelingt mir besser.
    Es sei MaxAuthTries irgend ein großer Wert und T eine Zahl größer als 1. Angenommen das Passwort wird durchgehend falsch eingegeben, dann erscheinen MaxAuthTries Prompts. Nun sollen die ersten 3 Prompts ohne Verzögerung erscheinen. Ab diesem Zeitpunkt soll eine Verzögerung eintreten. Nach dem n-ten Login-Prompt soll ein Delay von (n-2)*T Sekunden auftreten.

    Bsp.: T = 3
    Prompt: vertippt
    Prompt: vertippt
    Prompt: vertippt
    3s warten
    Prompt: vertippt
    6s warten
    Prompt: vertippt
    9s warten
    ...

    Warum ich das ganze will? Naja, Interesse und ist ein nettes Feature :)
    So brauchen Dictionary-Attacks ein bisschen länger und sind beschäftigt :-)
    @RM: Den Dienst hab ich, bis auf keybasiertes Login, so eingerichtet.

    P.S.: Wobei es nichts ausmacht wenn sich die Verzögerung durch (n-2)^T oder T^(n-2) berechnet :rolleyes:
     
  11. Gast1

    Gast1 Guest

    Die ganze Aktion ist dann trotzdem (oder vielleicht um so mehr) sinnlos.

    Aber eine schöne Möglichkeit für einen DoS-Angriff, der Angreifer muss nur versuchen, sich mit einem validen Usernamen anzumelden (was ihm zwar nicht gelingt, daber das ist ja bei DoS schnurzpiepegal), das Ganze per Script, die Timeouts stören ihn also nicht die Bohne und der echte User ist geDoSt, weil sein Login blockiert ist.
     
  12. larry

    larry Tripel-As

    Dabei seit:
    27.11.2007
    Beiträge:
    159
    Zustimmungen:
    0
    Ok, guter Punkt. Dann sollte sich das Ganze nur auf die aktuelle SSH-Session beziehen.
     
  13. #12 Gast1, 10.01.2009
    Zuletzt von einem Moderator bearbeitet: 10.01.2009
    Gast1

    Gast1 Guest

    *LOL*

    Genial, und was soll das bitteschön bringen?

    Nur auf die aktuelle Session bezogen?

    Also auf gut Deutsch, nur wenn jemand eh schon eingeloggt ist, wird ein Brute Force auf genau diesen Account "ausgebremst"?

    Da werden die bösen "H4xx0rz" aber grossen Respekt vor haben.

    Dein ganzes Konzept ist Humbug, begreif es endlich.


    Anstatt hier weiter Zeit und Hirnschmalz auf komplett sinnlose Aktionen zu verwenden, solltest Du Dich lieber um wirkliche Sicherheitsfeatures kümmern:

    Aber auch das schrieb ich ja bereits.

    Und für alle, die immer noch glauben, solche Tools wie fail2ban wären ein Sicherheitsgewinn, mal was zum Nachdenken:

    http://www.rootforum.de/forum/viewtopic.php?f=77&t=46097

    Zweiter Beitrag von Captain Crunch.
     
  14. #13 supersucker, 10.01.2009
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    @RM

    Das das, was der TE versucht, sinnlos ist sehe ich genau wie du.

    fail2ban allerdings hat IMHO schon einen Nutzen, nämlich genau den gleichen wie den SSH-Port auf was anderes als 22 zu verlegen -> die Logs werden nicht komplett zugemüllt.

    Außerdem kann man damit wenigstens die "dümmsten" DDOS-Attacken verhindern -> ist doch schon mal was.

    Aber klar, gegen "intelligente" DDOS-Attacken bringt das alles nix....
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 sim4000, 10.01.2009
    sim4000

    sim4000 Lebende Foren Legende

    Dabei seit:
    12.04.2006
    Beiträge:
    1.933
    Zustimmungen:
    0
    Ort:
    In meinem Zimmer
    Wo wir grad bei dem Thema sind:
    Wie schaut das denn mit Port Knocking aus? Bringt das denn was?
     
  17. Mike1

    Mike1 Niederösterreicher

    Dabei seit:
    21.12.2006
    Beiträge:
    1.376
    Zustimmungen:
    0
    Ort:
    Österreich
    ja, Rain_Maker hat das mal ziehmlich genial gemacht: der Computer erscheint komplett geschlossen...nur wenn man drei bestimmte Ports in einer bestimmten Reihenfolge knockt öffnet sich der SSH-Port hinter dem dann ein sshd wartet ;)
     
Thema:

Login-Versuche bei SSH