[gelöst] SSHd - IP Sperre - Programme - Linux Forum Linux-Web.de

ssteiner

Anfänger

Beiträge: 9

Wohnort: Deutschland

Beruf: Schüler

1

24.11.2007, 13:05

[gelöst] SSHd - IP Sperre

Hallo,

ich nutze gerne SSH, um von unterwegs mal bei mir zu Hause "vorbeizuschauen". Angreifer scheinen SSH aber auch gerne zu nutzen, um Server zu kapern :crazy:

, was ich immer wieder feststelle, wenn ich die Logs durchsehe: Hosts mit IP-Adressen aus China, Brasilien usw. versuchen sich als "root" oder "admin" mit falschen Passwörtern Zugang zu verschaffen. Weil ich, wenn ich von unterwegs auf den Server zugreifen will, immer den gleichen IP-Bereich nutze (Provider ist immer der gleiche), würde ich gerne alle Zugriffe, die nicht aus diesem IP-Bereich kommen, pauschal blocken lassen. (Ja, ich bin der einzige legitime Benutzer des Servers, brauch also auf niemanden Rücksicht nehmen

) Eine entsprechend konfigurierbare Firewall (zusätzlicher Server auf fli4l Basis o.ä.) kommt momentan nicht in Betracht (habe immerhin NAT...), eine Virtualisierung habe ich momentan nicht im Einsatz und würde mir im Moment zu viel Aufwand machen. Daher würde ich gerne im System selbst die "falschen" IPs aussperren. Beim FileZilla FTP Server gibt es beispielsweise eine Einstellmöglichkeit, mit der sich IP-Bereiche blacklisten lassen (auch mit Wildcards). Ich nutze auf dem Server übrigens cygwin auf Windows. Die Konfigurationsdateien von SSHd sollten aber mit denen von SSHd auf einer Linuxdistri weitestgehend oder gar völlig identisch sein, sodass ich denke, hier jemanden zu finden, der eine Idee hat.

Viele Grüße und danke euch bereits im Voraus!
Sebastian

Der neue OpenSource BASIC-Compiler für Microsoft Windows, DOS und Linux!

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »ssteiner« (24.11.2007, 13:08)

Zum Seitenanfang

linuxerr

Prof. Dr. Schlaumeier

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

2

24.11.2007, 13:25

RE: SSHd - IP Sperre

also unter openssh hast du die möglichkeit, die steuerung über dei /etc/hosts.allow und /etc/hosts.deny vorzunehmen. alsozb
hosts.deny : sshd:ALL
sshd zugriff für alle verboten und
hosts.allow: sshd: localhost 192.168.0.1 80.91.
damit wird den rechnern localhost, 192.168.0.1 und allen rechnern 80.91.XXX.XXX der zugriff gewährt.

ausserdem hast du noch die möglichkeit, die authorisierung nur über einen schlüssel zuzulassen, dann haben passwortprobierer wenig chancen.

ich mache das zusätzlich noch so, das meine ssh nach aussen ganz zu ist. ein kleines script überwacht ständig die logdatei der firewall und wenn ein rechner nacheinander innerhalb von 5sekunden bestimmte (geschlossene) ports in der richtigen reihenfolge kontaktiert, zb 1000, 840, 23, 80 , dann wird nur für diese ip eine firewallregel freigeschaltet, um das ssh port freizugeben. nach beendigung des kontakts wird die regel wieder gelöscht. so ist der server von aussen immer zu. ein angreifer müsste also erste den port-schlüssel (welche ports in welcher reihenfolg??) kennen um überhaupt an die ssh ranzukommen und dann lauert noch die authorisierung per schlüssel auf ihn. da hat er wohl wenig glück.

Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

Zum Seitenanfang

epikur

... only human being

Beiträge: 589

3

24.11.2007, 13:40

... und weil ich auch lust habe zu posten
... gibt es noch links zum port-knocking

> Port Knocking für ssh

... und hier gibt es ein package für cygwin

> knock - Wiki

wie soll ich wissen, was ich denke?
... bevor ich hoere, was ich sage
... bevor ich lese, was ich schreibe

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »epikur« (24.11.2007, 13:41)

Zum Seitenanfang

linuxerr

Prof. Dr. Schlaumeier

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

4

24.11.2007, 13:49

hmm portknocking, da hab ich wohl damals das rad neu erfunden. ich mach das schon seit ewigen zeiten so.
egal