Login-Versuche bei SSH

Diskutiere Login-Versuche bei SSH im Internet, lokale Netzwerke und Wireless Lan Forum im Bereich Netzwerke & Serverdienste; fail2ban allerdings hat IMHO schon einen Nutzen, nämlich genau den gleichen wie den SSH-Port auf was anderes als 22 zu verlegen -> die Logs werden...

  1. Gast1

    Gast1 Guest

    Da muss ich Dir nun teilweise widersprechen, denn wie der verlinkte Artikel zeigt, gab (zumindest dieser einfache "Loginjection"-Angriff ist wohl gefixt) es in dem Fall eine Möglichkeit eines einfachen DoS _weil_ fail2ban oder ein anderes Tool installiert war.

    Dann doch lieber Port verlegen, wobei natürlich (ich denke da besteht bei uns Konsens) die wirklich wichtigen Maßnahmen in der sicheren Konfiguration des Dienstes liegen und da besteht beim TE noch ein deutliches Defizit.

    Nun ja, dumm oder intelligent will ich gar nicht mal unterscheiden, gegen eine "richtige" DoS-Attacke mit entsprechender Bandbreite und Streuung (DDoS) ist eh kein Kraut gewachsen (zumindest keines, welches man _auf_ seiner Kiste installieren kann, das muss dann schon der Hoster an seiner Firewall/Gateway/Router wegwerfen).

    Ich will auch saubere Logs und nutze Portknocking, nur das macht dann z.B. keinen Sinn, wenn viele User SSH-Zugriff haben sollen (bei mir soll das nur ein User dürfen, namentlich meinereiner).

    Trotzdem (OK, auch hier besteht sicher Konsens) war Schritt Nr.1 die sichere Konfiguration des Dienstes, alles andere sind Features, die man haben kann, aber die die wirklich wichtigen Maßnahmen nie ersetzen und maximal ergänzen können, immer mit der Gefahr sich dadurch ein weiteres Leck zu bohren.

    Ich besitze vielleicht ein gutes Maß an Phantasie, aber sich "meinen" DoS-Angriff von vorhin auszudenken, war wirklich nicht schwer, ich bin mir sicher, daß da draussen noch sehr viel phantasievollere und cleverere Burschen/Mädels sind, die noch viel bessere Ideen haben, wie man die Tatsache ausnutzen kann, daß sich jemand solche Zusatztools installiert.

    Complexity breeds Bug .....

    Greetz,

    RM
     
  2. Anzeige

    Anzeige

    Wenn du mehr über Linux erfahren möchtest, dann solltest du dir mal folgende Shellkommandos anschauen.


    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #17 sim4000, 10.01.2009
    sim4000

    sim4000 Lebende Foren Legende

    Dabei seit:
    12.04.2006
    Beiträge:
    1.933
    Zustimmungen:
    0
    Ort:
    In meinem Zimmer
    Schade, das so etwas nicht auf einem VServer geht. :\
    Da kann man die iptables nur über ein Webpanel einstellen, wo nur simples Accept und Drop geht. Der Befehl "iptables" selber ist ja bekanntlich deaktiviert.
     
  4. #18 supersucker, 10.01.2009
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Das wage ich mal stark zu bezweifeln, hier mal die Ausgabe von meinem VServer (Strato):

    Code:
    iptables -L
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    
     
  5. #19 sim4000, 10.01.2009
    sim4000

    sim4000 Lebende Foren Legende

    Dabei seit:
    12.04.2006
    Beiträge:
    1.933
    Zustimmungen:
    0
    Ort:
    In meinem Zimmer
    Wenn ich bei mir als "root iptable -L" mache, kommt ein "Permission Denied". Was mit der Fritze vom Support auch bestätigt hat.
    Und das Webpanel kann halt nur stink normales Accept und Drop.
     
  6. larry

    larry Tripel-As

    Dabei seit:
    27.11.2007
    Beiträge:
    159
    Zustimmungen:
    0
    Na klar, wenn er eingeloggt ist bringts was ...
    Also vor dem Einloggen wurde der Kanal ja schon verschlüsselt, dann soll sich das ganze auf den Login-Prozess dieser SSH-Verbindung beziehen. Sei es durch PID oder sonstiges.
     
  7. #21 sim4000, 10.01.2009
    sim4000

    sim4000 Lebende Foren Legende

    Dabei seit:
    12.04.2006
    Beiträge:
    1.933
    Zustimmungen:
    0
    Ort:
    In meinem Zimmer
    Wenn er eingeloggt ist, ist es aus. Dann bringt jegliche Ausbremsung nichts mehr. Ein Bot hat alle Zeit der Welt.
     
  8. larry

    larry Tripel-As

    Dabei seit:
    27.11.2007
    Beiträge:
    159
    Zustimmungen:
    0
    Aber dann hat er erstmal lange zu tun.
     
  9. Gast1

    Gast1 Guest

    Stimmt, er hat nach dem erfolgreichen Login sicher ne Menge zu tun, dazu gehören aber sicher NICHT weitere Loginversuche.

    :-)

    Und vorher hat der Prozess auch keine PID (und falls doch, dann gibt es für den nächsten Versuch eine neue PID und wieder greift Deine tolle Idee nicht).

    Und damit wären wir wieder am Anfang ......
     
  10. #24 Bâshgob, 10.01.2009
    Bâshgob

    Bâshgob freies Radikal

    Dabei seit:
    29.07.2004
    Beiträge:
    2.334
    Zustimmungen:
    0
    Ort:
    Hannover
    Womit zu tun? In den von ihm selbst schon kompromittierten Account einzudringen während er exakt dort eingeloggt ist?

    ROTFLMAO

    'tschuldigung, aber sinnloser gehts nun wirklich nicht.
     
  11. Gast1

    Gast1 Guest

    Ich warte jetzt nur noch auf eine Antwort der Marke "Und wenn meine Idee nicht funktioniert, dann......" (siehe Bild)

    [​IMG]

    Am Unterhaltungswert gemessen ist dieser Thread jedenfalls eine wahre Perle.

    :-)
     
  12. larry

    larry Tripel-As

    Dabei seit:
    27.11.2007
    Beiträge:
    159
    Zustimmungen:
    0
    Soweit ich das richtig verstanden hab, forkt ssh bei einer neuen Verbindung, also gibts schon mal ne neue PID... man muss sich dafür noch nicht einmal eingeloggt haben.
    Ja, für den nächsten Versuch gibt es natürlich eine andere PID. Ich hab eine Packetfilter-Regel, die die Verbindungen limitiert, aber das ist ein anderes Thema.
     
  13. Gast1

    Gast1 Guest

    Stimmt, das ist das Thema "die nächte potentielle Self-DoS" Lücke (sofern die Regel schlecht gemacht ist).

    Sollte sie gut gemacht sein (auf die sich einloggende IP bezogen), dann ist Deine Idee wieder sinnlos, da obsolet bzw. im Endeffekt eine Variante dessen, was fail2ban macht (bis zum timeout der schon durch Loginversuche bestehenden Verbindungen).

    Und selbst dann greift das wieder nicht, wenn jemand seine automatisierten Logins gleichzeitig über Bots mit verschiedenen IPs abschiesst (und böse Zungen behaupten, daß so etwas ab und zu auch wirklich passieren sollte).

    Aber mach ruhig weiter, ich will hier schliesslich was Lernen (was verrate ich nicht).

    :-)
     
  14. larry

    larry Tripel-As

    Dabei seit:
    27.11.2007
    Beiträge:
    159
    Zustimmungen:
    0
    Natürlich mach ich weiter, will ja auch was dazulernen... Das mit log-Injection hab ich mir mal durchgelsen... gut... was dazu gelernt.
    Wenn ich fail2ban richtig verstanden hab, dann holt sich das Tool Informationen aus den Logfiles. Das macht wohl ein Packetfilter nicht. Weiß nicht, was du mit einer "Variante dessen was fail2ban" macht meinst.
    Wenn die Bots mit verschiedenen IPs kommen, ist es mit oder ohne Filterregel gleich. Was hat das mit dem anderem zu tun?
     
  15. Gast1

    Gast1 Guest

    Es hat damit zu tun, daß Deine ganze Idee nichts bringt, egal ob mit oder ohne Filterregel, allerdings mit Filteregel oder Fail2ban das Ganze nicht nur nichts bringt (wie schon vorher) sondern auch keine weitere Funktionalität bringt, was die anderen Mechanismen nicht eh schon machen.

    Warum wurde Dir hier schon mehrfach gesagt.

    Befasse Dich mit den Grundlagen von TCP/IP, Stichworte "timeout" (bei Filterregel "DROP") bzw. Zurücksetzen der Verbindung (bei REJECT oder ohne Paketfilter).

    Und zum Thema "DROP/DENY oder REJECT" hier noch was zum Lesen:

    http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Deny
     
  16. larry

    larry Tripel-As

    Dabei seit:
    27.11.2007
    Beiträge:
    159
    Zustimmungen:
    0
    Idee??? Das ist doch bei JunOS implementiert?
    Bei einer Bruteforce-Attacke, ist der Bot, falls er kein Zeitlimit hat, erstmal durch dieses Verfahren beschäftigt. Andere Admins freuen sich nicht darüber?
     
Thema:

Login-Versuche bei SSH

  1. Diese Seite verwendet Cookies um Inhalte zu personalisieren. Außerdem werden auch Cookies von Diensten Dritter gesetzt. Mit dem weiteren Aufenthalt akzeptierst du diesen Einsatz von Cookies.
    Information ausblenden