Am Mittwoch, 14. September 2005 21:19 schrieb Martin Dommermuth: > Hallo, > > * Ernst May-Jung wrote/schrieb: > > So ähnlich hab ich das auch gesehen und einfach mal beobachtet was > > passiert. Irgendwann hat er auch wieder aufgehört. Ich hab allerdings > > keine Ahnung was der wollte. Er hat Benutzernamen ausprobiert. Also kein > > Angriff auf root. > > ich bin leider kürzlich nicht so gut davongekommen. Durch ein > schwaches Userpasswort hat sich einer Fremder (IP Richtung Rumänien) > Zugang verschafft und ein DoS gestartet. Mein Hoster hat den Server > dann runtergefahren bis ich aufräumen konnte. Zum Glück sind nur ca. 500 MB > Traffic erzeugt worden.
Da hilft vor allem cracklib. Die Bibliothek kannst Du benutzen, um qualitative Anforderungen an Passwörter zu überprüfen. Das kannst Du dann via PAM einbinden. Überhaupt ist SSH erst in Kombination mit PAM erst wirklich mächtig. > Mir kam bei der Sache die Idee, daß sshd nach sagen wir 10 Versuchen auch > das richtige Passwort für eine Zeit nicht mehr akzeptieren sollte. Hat > natürlich den Nachteil, daß dann irgendwelche Witzbolde Accounts > sperren können. Das kannst Du auch mit PAM einrichten. > Gute Idee ist es auch, SSH auf einem anderen Port zu starten. Und > mit RSA weicht man der ganzen Problematik natürlich aus. Nicht unbedingt. DoS-Attacken sind auch dann noch möglich. Um das zu verhindern gibt es vor allem die Optionen LoginGraceTime - Beendet die Verbindung, wenn eine bestimmte Zeit verstrichen ist und der Benutzer sich nicht authentifiziert hat. MaxAuthTries - Die maximal möglichen Authentifizierungsversuche über eine Verbindung. MaxStartups - Die maximale Anzahl an Verbindungen, die gleichzeitig aufgebaut werden. Optimal wäre eine Kombination aus SSH, PAM und Intrusion Detection: SSH meldet erfolglose Verbindungen samt IP an das IDS und dieses verhindert die nächste Zeit (via PAM) eingehende Verbindungen von dieser IP. Vielleicht finde ich ja mal die Zeit für ein kleines Tutorial ;-) Max -- Max Trense - [EMAIL PROTECTED] - http://www.trense.info -- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
