Hi,

Am Samstag, den 09.09.2006, 11:36 +0200 schrieb Niels Stargardt:

> Ich meine das PortForwarding. Durch den Tunnel soll mir zwar ein Port
> angeboten werden, aber es soll nicht möglich sein vom Rechner der sich per
> SSH einloggt, Ports zu meinem Rechner zu leiten.
>  
> >> Das zweite was mir noch wichtiger ist. Wie kann ich erkennen, ob jemand
> >> versucht über meinen SSH-Server einzudringen?

Es gibt das nette Paket fail2ban. Das Untersucht die Logfiles und kann
dann beispielsweise nach 5 fehlgeschlagenen SSH-Versuchen die
betreffende IP für 10 Minuten mit Iptables sperren.

Man kann über sie Sinnhaftigkeit von so was streiten, aber im Moment
gibt es lästige Scripts, die versuchen verschiedene SSH-User
abzuscannen.

fail2ban kann übrigens auch apache, ftp und ein paar andere Sachen
überwachen.
 
> > Du koenntest Dir mit "logwatch" eine taegliche Zusammenfassung (nicht
> > nur der SSH-Logins) schicken lassen.
> Und was ist da der Suchbegriff? Mir ist selbst wenn ich mal einen Fehler
> beim Login gemacht habe, nichts aufgefallen.
 
Das hier ist aus meinem Logwatch:

 sshd:
    Authentication Failures:
       unknown (202.168.253.6): 1 Time(s)
    Invalid Users:
       Unknown Account: 1 Time(s)
    Sessions Opened:
       root by root: 4 Time(s)
 
Die Statistik für SSH ist also schon eingebaut. Die rootlogins sind
übrigens auch nur mit Schlüsseln möglich.

Zudem solltest Du Dir mal die Manpage zu sshd_config anschauen. Da steht
viel, wie man den Dienst absichern und konfigurieren kann.

Greetz,
Andre


-- 
BOFH-excuse of the day: Browser's cookie is corrupted -- someone's been
nibbling on it.

Antwort per Email an