Hej!
Kan inte se att n�got i de loggar du skickat tyder p� att n�gon lyckats "bryta" sig in i din dator.
D�remot har dom f�rs�kt, vilket inte �r ovanligt. Ser s�nt d�r i mina loggar dagligen.
Som standard tror jag att alla "normala" anv�ndare kan logga in via SSH om porten �ppnats i iptables. Skriver lite hur jag begr�nsar anslutningsm�jligheterna via SSH.
OBS: G�r inga anspr�k p� att vara expert.
Som andra redan skrivit, i sshd.conf:
PermitRootLogin no ;Till�ter inte root login via SSH
AllowUsers user1 [EMAIL PROTECTED] ;Vilka anv�ndare som f�r logga in via SSH
;och �ven fr�n vilken hostRoot-login via SSH b�r sp�rras eftersom alla vet att det kontot finns.
Tidigare anv�nde jag tcp wrappers f�r att styra vilka
ip-adresser/hosts som f�r att ansluta via SSH: I filen hosts.allow
kan det t ex skrivas:
sshd : 130.130.130.130 \
140.140.140.
:ALLOWKan anv�ndas till att till�ta alla anv�ndare ansluta via SSH, men enbart fr�n en utvald ip-adress (tcp wrappers har mycket fler m�jligheter �n detta, men som exempel).
Beh�ver en anv�ndare inte kunna logga in, t ex bara ansluta via FTP eller enbart kunna l�sa/skicka mail fr�n en windowsburk, tycker jag man ska man sp�rra inloggning f�r den anv�ndaren. T ex genom att s�tta shell=/bin/false.
Sj�lv anv�nder jag virituella anv�ndare mot de servrar jag anv�nder. Virituella anv�ndare g�r att det endast beh�ver skapas "riktiga" anv�ndare f�r dom som har behov att kunna logga in. En annan sak �r att det g�r att ha olika passord f�r samma anv�ndarnamn. T ex att anv�nda samma anv�ndarnamn f�r b�de e-mail och inloggning, men ha olika passord.
ProFtp, Qpopper och Exim �r l�tta att konfigurera att anv�nda virituella anv�ndare via egna passwd-filer. Sj�lv har jag gjort virituella anv�ndare i MySql f�r Exim och Courier-IMAP.
Sen g�r det alltid att anv�nda ip-tables. Sj�lv la jag in raden:
iptables -A INPUT -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -p TCP --dport 22 --syn -m limit --limit-burst 5 - ACCEPT
G�rs det fler �n 5 synk-f�rs�k f�r SSH p� raken sp�rras port 22
en stund. Att port 22 sp�rras en liten stund har aldrig st�rt mig.
MVH Urban B�cklund
timebandit wrote:
Mitt f�rsta intr�ng imorse d� :/ N�gra bra s�tt/knep/rekommendationer att g�ra burken s�krare? K�r Debian testing med 2.4.29 och endast f�tal portar �ppna som, 22,25, 80,161, 443, 993... Mar 1 04:51:40 DZN sshd[23046]: Failed password for illegal user sonya from 198.104.144.59 port 42522 ssh2 Mar 1 04:51:41 DZN sshd[23050]: Illegal user tony from 198.104.144.59 Mar 1 04:51:41 DZN sshd[23050]: error: Could not get shadow information for NOUSER Mar 1 04:51:41 DZN sshd[23050]: Failed password for illegal user tony from 198.104.144.59 port 42561 ssh2 Mar 1 04:51:43 DZN sshd[23052]: Illegal user just from 198.104.144.59 Mar 1 04:51:43 DZN sshd[23052]: error: Could not get shadow information for NOUSER Mar 1 04:51:43 DZN sshd[23052]: Failed password for illegal user just from 198.104.144.59 port 42604 ssh2 Mar 1 04:51:44 DZN sshd[23054]: Illegal user justice from 198.104.144.59 Mar 1 04:51:44 DZN sshd[23054]: error: Could not get shadow information for NOUSER Mar 1 04:51:44 DZN sshd[23054]: Failed password for illegal user justice from 198.104.144.59 port 42646 ssh2 Mar 1 04:51:46 DZN sshd[23056]: Illegal user bank from 198.104.144.59 Mar 1 04:51:46 DZN sshd[23056]: error: Could not get shadow information for NOUSER Mar 1 04:51:46 DZN sshd[23056]: Failed password for illegal user bank from 198.104.144.59 port 42695 ssh2 Mar 1 04:51:47 DZN sshd[23060]: Illegal user vip from 198.104.144.59 Mar 1 04:51:47 DZN sshd[23060]: error: Could not get shadow information for NOUSER Mar 1 04:51:47 DZN sshd[23060]: Failed password for illegal user vip from 198.104.144.59 port 42735 ssh2
Mar 1 06:25:04 DZN su[26029]: + ??? root:nobody Mar 1 06:25:04 DZN su[26029]: (pam_unix) session opened for user nobody by (uid=0)
�ven en massa Failed password for root som finns i loggarna :/ Dem lyckades tydligen ta sig in i morse men han dra ut n�tverkskabeln innan dem gjorde n�n skada... dem k�rde n�tt med find men hittar inget i loggarna d�r det visar vad dem gjorde :/
-- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
