SSH maximale Fehlgeschlage Logins

Dieses Thema im Forum "Security Talk" wurde erstellt von Mauser, 28.09.2004.

  1. #1 Mauser, 28.09.2004
    Zuletzt bearbeitet: 28.09.2004
    Mauser

    Mauser Master Of Disaster

    Dabei seit:
    28.10.2003
    Beiträge:
    72
    Zustimmungen:
    0
    Ort:
    Hessen
    maximale Fehlgeschlage Logins

    Hi,

    ich habe mich gerade mit folgendem Problem beschäftigt:
    ich wollte auf einem linux server festlegen, nach wie vielen fehlgeschlagenen logins (auch remote per ssh) eines users der account [temporär] gesperrt wird. ich habe nun im PAM das pam modul pam_tally in meine common_auth reingebaut.
    es funktioniert auch, nur würde ich gerne wissen ob es in der richtung auch noch andere möglichkeiten gibt und wie ihr dieses problem löst.. weiss aus erfahrungen in der schule dass das unter win2000 sehr einfach ist, darum war ich eigentlich schon irritiert als doch recht lange googlen musste um pam_tally zu finden..
    (ich hoffe das ich das hier richtig gepostet hab ;-D)
    mfg
    Mauser
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 qmasterrr, 28.09.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    davon halte ich nichts... damit kann dir jeder deinen login sperren...
     
  4. Mauser

    Mauser Master Of Disaster

    Dabei seit:
    28.10.2003
    Beiträge:
    72
    Zustimmungen:
    0
    Ort:
    Hessen
    hi..

    natürlich kannst du das alle 2min oder so reseten. allerdings gebe ich dir da vollkommen recht, dass die gefahr vorhanden ist, sich auszusperren. aber wie schützt du dich vor brute force angriffen etc. ?
    (ausser mit guten passwörtern...) ich meine wenn jemand sein prog auf den server ansetzt, wird er es schnell aufgeben, wenn er nur 1 passwort pro minute schafft.
    ich frage ja, um andere vorschläge zu sammeln..
    mfg
    Mauser
     
  5. #4 qmasterrr, 28.09.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    ein erster schritt wäre zb nicht alle anfragen durchlassen sondern eben nur die die von einer voreingestellten ip kommen. desweiteren brauchen die erstmal deinen username....
    und wenn du dir regelmäßig die logs anguckst oder dir eine email bei abnormalien senden lässt kann da meinermeinung nach wenig passieren und halt rootlogin deaktivieren und sichere pws und diese auch ab und zu mal ändern
     
  6. Mauser

    Mauser Master Of Disaster

    Dabei seit:
    28.10.2003
    Beiträge:
    72
    Zustimmungen:
    0
    Ort:
    Hessen
    hi,

    erstmal danke für deine tips.. ja,an das beschränken auf eine ip hatte ich auch schon gedacht. nur dumm das der pc um den es primär ging ein gemieteter server ist und irgendwo im rechenzentrum steht, dh. die verbindung geht übers wan. und nun benötigst du (der,der auf den server zugreifen will) auch eine feste ip, die der normale user zuhause ja net hat. meine zweiter vorschlag wäre gewesen, ssh auf die authorisation per public key zu beschränken und keine "logins" mehr anzubieten. aber das wollte der betreffende widerum net, weil er angst hatte den key zu verlieren..........
    und von wegen log dateien anschauen: ich denke mal das das doch bei nem brute force net viel bringt, da man (wenn man net beruflich admin ist...) nicht täglich seine logs durchforsten kann.ich denke das die reaktionszeit da einfach zu hoch ist, darum hatte ich mich für die methode mit den accounts sperren entschieden. ok, mir fällt gerade was besseres ein:
    ein skript was die logs durchwühlt und die brute force ip's in hosts.deny einträgt,per mail warnt und -falls die addresse kurz danach wechselt,also eine dynamische ist - die ip nach einer woche wieder entfernt. denke dass die lösung eigentlich net schlecht wär. gibts sowas vielleicht auch schon ?
    mfg
    Mauser
     
  7. #6 qmasterrr, 28.09.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    hmm
    ich weiß ja nicht was du für vorstellungen hast aber imho dauert ein bruteforce angriff schon seine zeit.. besonders bei langen komplizirten passwörtern.
     
  8. Mauser

    Mauser Master Of Disaster

    Dabei seit:
    28.10.2003
    Beiträge:
    72
    Zustimmungen:
    0
    Ort:
    Hessen
    ich will jetz hier keine endlose und sinnlose diskusion losbrechen, aber versuch mal bei mehr als 50 usern nen pwd-standart durchzuringen, ohne die unsicherern passwörter nicht mehr zu erlauben. aus vernunft macht das eh keiner..
    mfg
    mauser
     
  9. #8 qmasterrr, 28.09.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    jop das ist schwer da hilft nur ab und zu bruteforce gegen den eigenen server und die user ranbekommen die mist gebaut haben

    aber lassen wir das...
     
  10. #9 bananenman, 29.09.2004
    bananenman

    bananenman Routinier

    Dabei seit:
    07.03.2004
    Beiträge:
    410
    Zustimmungen:
    0
    1. lass den sshd doch einfach auf port *irgendwas* lauschen - dann laufen 98% aller angriffe schonmal ins leere.

    2. passwordauthentification ist immer ein sicherheitsproblem! besser ist's ausschließlich mit public-keys zu arbeiten. die müssen natürlich auch per mantra gesichert werden aber solange die keys nicht "auf reisen gehen" (also solange es keine roadwarrior gibt sich den key-file klauen lassen) ist das risiko vernachlässigbar. keys haben noch andere vorteile: du kannst z.b. festlegen das sich z.b. die mitarbeiter zwar von den rechnern des bürogebäudes, nicht aber aus dem außenlager einloggen können (damit wird schonmal verhindert das kollege meier mit seinem key-file auf diskette spazieren geht).

    3. root darf sich niemals über ssh einloggen! weder über passwordauthentification noch über pubkey-authentification! für solche zwecke erstellst du dir bitte einen eigenen user der per su die entsprechenden rechte erlangen kann. (wenn du es richtig machen willst, führst du die gruppe wheel wieder ein und entziehst allen anderen usern das recht auf su).

    mfg

    bananenman
     
  11. #10 qmasterrr, 29.09.2004
    qmasterrr

    qmasterrr Foren Gott

    Dabei seit:
    01.01.2004
    Beiträge:
    2.735
    Zustimmungen:
    0
    Ort:
    Germany/NRW/Wesel
    afiar kannst du das über die /etc/login.defs machen
     
Thema:

SSH maximale Fehlgeschlage Logins

Die Seite wird geladen...

SSH maximale Fehlgeschlage Logins - Ähnliche Themen

  1. Maximale Schreibperformance auf SD/USB

    Maximale Schreibperformance auf SD/USB: Hallo zusammen, das Thema Programmieren unter Linux ist absolutes Neuland für mich. Ich möchte Messdaten auf eine SD Karte bzw. einen USB...
  2. Maximale Zugriffe auf einen Ordner?

    Maximale Zugriffe auf einen Ordner?: Hallo Zusammen, ein Bekannter von mir hat ein FreeNAS Server auf den er von verschiedenen Windows Kisten aus auf eine große Freigabe zugreift,...
  3. Maximale grösse einer Mail festlegen

    Maximale grösse einer Mail festlegen: Hallo Zusammen, ich bräuchte mal eine kurze Info, und zwar: Ist es möglich in exim die maximale Größe einer Ausgehenden Mail zu beschrenken?...
  4. jTable - maximale Größe?

    jTable - maximale Größe?: Hallo zusammen. Ich bin gerade dabei, mir ein kleines Programm zu schreiben, welches Daten aus einer Datenbank ausliest und sie in einer JTable...
  5. Maximale Speicherallokierung von Fortran

    Maximale Speicherallokierung von Fortran: Hallo, ich entwickle gerade ein Programm, welches mit ziemlich großen Matrizen arbeitet. Der Speicherbedarf für eine Matrize kann bis zu 4 GB...