Allgemeine Fragen von Benutzern zu FreeBSD

Sebastian Stolz | 2 Nov 2005 08:41

Picon

Angriff auf SSH

Hallo Liste,

heute Morgen hatte ich folgende Zeilen ca. 100 mal in meiner periodic Statusmail:

Nov  1 01:15:27 srv sshd[75289]: reverse mapping checking getaddrinfo for 216-243-104-187.lobo.net 
failed - POSSIBLE BREAKIN ATTEMPT!
Nov  1 01:15:28 srv sshd[75291]: reverse mapping checking getaddrinfo for 216-243-104-187.lobo.net 
failed - POSSIBLE BREAKIN ATTEMPT!

ist das ein "Problem" und kann ich da irgendwas dagegen machen??? Leider kann ich den Port nicht in
der Firewall beschränken, da ich öffter's Fernwartung per SSH von einer Einwahlleitung machen muss.

Gruß

Sebastian

To Unsubscribe: send mail to majordomo <at> de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message

Oliver Fromme | 2 Nov 2005 10:35

Picon

Re: Angriff auf SSH

Sebastian Stolz <sebastian.stolz <at> arbeitskammer.de> wrote:
 > heute Morgen hatte ich folgende Zeilen ca. 100 mal in meiner periodic
 > Statusmail:

Es gibt Tage, an denen ich tausende von sshd-Warnmeldungen
von Einbruchsversuchen habe.

Normalerweise gibt es nichts sinnvolles, was man dagegen
tun kann oder muß, vorausgesetzt man hat eine aktuelle SSH
und auch sonst ist alles im grünen Bereich.  Also einfach
ignorieren.

(Du könntest versuchen, an abuse <at>  der Domain bzw. des IP-
Ranges eine Mail zu schicken, aber meistens ist das ver-
gebliche Mühe.)

 > Nov  1 01:15:27 srv sshd[75289]: reverse mapping checking getaddrinfo for 216-243-104-187.lobo.net
failed - POSSIBLE BREAKIN ATTEMPT!
 > Nov  1 01:15:28 srv sshd[75291]: reverse mapping checking getaddrinfo for 216-243-104-187.lobo.net
failed - POSSIBLE BREAKIN ATTEMPT!
 > 
 > ist das ein "Problem" und kann ich da irgendwas dagegen
 > machen??? Leider kann ich den Port nicht in der Firewall beschränken,
 > da ich öffter's Fernwartung per SSH von einer Einwahlleitung machen
 > muss.

Die Warnmeldung bedeutet lediglich, daß jemand von der IP-
Adresse 216.243.104.187 versucht hat, sich mit Deinem sshd
zu verbinden.  Wenn in der sshd_config VerifyReverseMapping
eingeschaltet ist, macht der sshd erstmal einen Reverse-

(Continue reading)

Ingo Rohlfs | 7 Nov 2005 22:39

Picon

Picon

Re: Angriff auf SSH

On Wed, Nov 02, 2005 at 10:35:10AM +0100, Oliver Fromme wrote:
> Sebastian Stolz <sebastian.stolz <at> arbeitskammer.de> wrote:
>  > heute Morgen hatte ich folgende Zeilen ca. 100 mal in meiner periodic
>  > Statusmail:
> 
> Es gibt Tage, an denen ich tausende von sshd-Warnmeldungen
> von Einbruchsversuchen habe.

Z.B. letzten Sonnabend nachmittag: in ca. eineinhalb Stunden
184000  (EinhundertvierundachzigTAUSEND) Angriffe auf unsere
ssh-Dienste!

Da kann einem schon ganz anders werden. Denn das war leider
keine Ausnahme.

Mit freundlichem Gruss

    Ingo Rohlfs

-----------------------------------       _____     __o
-   http://dr-rohlfs.de   !PGP!         ______    _`\<,_
-----------------------------------      ____    (_)/ (_)

To Unsubscribe: send mail to majordomo <at> de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message

Oliver Fromme | 8 Nov 2005 15:08

Picon

Re: Angriff auf SSH

Ingo Rohlfs <ingo.rohlfs <at> gmx.de> wrote:
 > On Wed, Nov 02, 2005 at 10:35:10AM +0100, Oliver Fromme wrote:
 > > Sebastian Stolz <sebastian.stolz <at> arbeitskammer.de> wrote:
 > > > heute Morgen hatte ich folgende Zeilen ca. 100 mal in meiner periodic
 > > > Statusmail:
 > > 
 > > Es gibt Tage, an denen ich tausende von sshd-Warnmeldungen
 > > von Einbruchsversuchen habe.
 > 
 > Z.B. letzten Sonnabend nachmittag: in ca. eineinhalb Stunden
 > 184000  (EinhundertvierundachzigTAUSEND) Angriffe auf unsere
 > ssh-Dienste!
 > 
 > Da kann einem schon ganz anders werden. Denn das war leider
 > keine Ausnahme.

Ja, das kann schon sehr schwanken.  Speziell exponierte
Rechner sind natürlich besonders gefährdet, etwa IRC-
Server, FTP- oder P2P-Server mit zweifelhaften Inhalten,
beliebte Webserver, Chat-Foren usw.  In solchen Fällen
sollte man wirklich das Logging abschalten, oder nur noch
automatisiert auswerten lassen (z.B. logsurfer) und dann
sofort löschen bzw. wegrotieren.  Zweihunderttausend Log-
einträge helfen einem überhaupt nichts, außer daß sie von
wirklich wichtigen Einträgen ablenken.

Auch bei dynamischen IPs (z.B. Dial-up- oder DSL-Pools)
kann man Pech haben und eine IP erwischen, auf der aus
irgendwelchen Gründen hektische Aktivitäten passieren.

(Continue reading)

Dieter Rauschenberger | 2 Nov 2005 13:29

Picon

Re: Angriff auf SSH

Hallo Oliver,

On Wed, Nov 02, 2005 at 10:35:10AM +0100, Oliver Fromme wrote:
> ...
> zu verbinden.  Wenn in der sshd_config VerifyReverseMapping
> eingeschaltet ist, ...

Hab ich probiert:

VerifyReverseMapping yes

In der sshd_config. Ist sie Syntax so richtig? Dann sshd neu gestartet:

root <at> a3:/etc/rc.d# ./sshd restart
Stopping sshd.
Starting sshd.
/etc/ssh/sshd_config line 24: Deprecated option VerifyReverseMapping

Mein System:

root <at> a3:/etc/rc.d# uname -a
FreeBSD a3.d-ra.net 5.4-RELEASE-p8 FreeBSD 5.4-RELEASE-p8 #4: Tue Oct
11 18:46:03 CEST 2005     root <at> a3.d-ra.net:/usr/obj/usr/src/sys/A3
i386

In der Manpage SSHD_CONFIG(5) steht nichts über VerifyReverseMapping.
Aber dafür:

UseDNS  Specifies whether sshd should lookup the remote host name
        and check that the resolved host name for the remote IP

(Continue reading)

Oliver Fromme | 2 Nov 2005 13:53

Picon

Re: Angriff auf SSH

Dieter Rauschenberger <dr <at> d-ra.de> wrote:
 > VerifyReverseMapping yes
 > 
 > In der sshd_config. Ist sie Syntax so richtig?

Ja, die Syntax stimmt.

 > root <at> a3:/etc/rc.d# uname -a
 > FreeBSD a3.d-ra.net 5.4-RELEASE-p8 FreeBSD 5.4-RELEASE-p8 #4: Tue Oct

Ich verwende ein aktuelles 4-stable.  5.x boykottiere ich
weitgehend.  

 > In der Manpage SSHD_CONFIG(5) steht nichts über VerifyReverseMapping.
 > Aber dafür:
 > 
 > UseDNS  Specifies whether sshd should lookup the remote host name
 >         and check that the resolved host name for the remote IP
 >         address maps back to the very same IP address.  The default is
 >         ``yes''.

Aus der manpage bei 4-stable:

VerifyReverseMapping
        Specifies whether sshd should try to verify the remote
        host name and check that the resolved host name for the
        remote IP address maps back to the very same IP address.
        The default is ``no''.

Klingt also so, als wenn die Option exakt dasselbe tut,

(Continue reading)

Dieter Rauschenberger | 2 Nov 2005 14:31

Picon

Re: Angriff auf SSH

On Wed, Nov 02, 2005 at 01:53:16PM +0100, Oliver Fromme wrote:
> Ich verwende ein aktuelles 4-stable.  5.x boykottiere ich
> weitgehend.  

Ich frag jetzt nicht nach, sonst kommen wir vom Thema ab.

>  > In der Manpage SSHD_CONFIG(5) steht nichts über VerifyReverseMapping.
>  > Aber dafür:
>  > 
>  > UseDNS  Specifies whether sshd should lookup the remote host name
>  >         and check that the resolved host name for the remote IP
>  >         address maps back to the very same IP address.  The default is
>  >         ``yes''.
> 
> Aus der manpage bei 4-stable:
> 
> VerifyReverseMapping
>         Specifies whether sshd should try to verify the remote
>         host name and check that the resolved host name for the
>         remote IP address maps back to the very same IP address.
>         The default is ``no''.
> 
> Klingt also so, als wenn die Option exakt dasselbe tut,
> nur der Name hat sich geändert (und der Default).

Schon wieder was dazugelernt. Jetzt wo man es weiss, weiss man auch
wie man draufkommen kann:
http://www.freebsd.org/cgi/man.cgi?query=sshd_config&apropos=0&sektion=0&manpath=FreeBSD+4.9-RELEASE&format=html

Danke!!

(Continue reading)

Karsten Gorling | 2 Nov 2005 13:11

Picon

Re: Angriff auf SSH

* Oliver Fromme <olli <at> lurza.secnetix.de> [051102 10:55]:
> einen Lookup, um zu prüfen, daß der Name zur selben Adresse
> aufgelöst werden kann.  Klappt das nicht -- wie in diesem
> Fall -- gibt es obige Warnmeldung im Log.  Das kannst Du
> ganz einfach selbst nachprüfen:

Diese Überprüfung wird doch, soweit ich weiß, von dem tcpd durchgeführt,
und zwar wenn PARANOIA aktiviert ist.

--

-- 
Max-Born-Institut (MBI)/Max-Born-Straße 2A/12489 Berlin/Karsten Gorling
Telefon: ++49 30 6392 1341 / Telefax: ++49 30 6392 1309 
E-Mail: kgorling <at> physik.tu-berlin.de or gorling <at> mbi-berlin.de
Instantmessenger: Jabber: grafzahl <at> jabber.fsinf.de or ICQ: 95492828
PGP-Fingerprint:  4BEF 23EA 02AE BACA 9918  31FF 285B 0426 0E1A B2FC
----------------- > encrypted E-Mail preferred <------------------------

To Unsubscribe: send mail to majordomo <at> de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message

Matthias Fechner | 2 Nov 2005 12:45

Re: Angriff auf SSH

Hallo Oliver,

* Oliver Fromme <olli <at> lurza.secnetix.de> [02-11-05 10:35]:
> Da der sshd in dem Fall die Verbindung sofort wieder kappt,
> besteht keine Gefahr.  Der Angreifer kommt nicht einmal bis
> zum Login- oder Paßwort-Prompt, kann also auch keinen Wör-
> terbuchangriff o.ä. durchführen.

bist du dir da wirklich sicher?
Ich habe jetzt gerade mal die man-page durchgelesen und die einzige
Option die ich gefunden habe ist:
UseDNS

Allerdings steht da nichts dabei, das der sshd die Verbindung trennt,
fass das nicht passen sollte.

Gruss
Matthias

--

-- 

"Programming today is a race between software engineers striving to build
bigger and better idiot-proof programs, and the universe trying to produce
bigger and better idiots. So far, the universe is winning." -- Rich Cook

To Unsubscribe: send mail to majordomo <at> de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message

Matthias Fechner | 2 Nov 2005 12:34

Re: Angriff auf SSH

Hallo Oliver,

* Oliver Fromme <olli <at> lurza.secnetix.de> [02-11-05 10:35]:
> $ host 216.243.104.187
> 187.104.243.216.IN-ADDR.ARPA domain name pointer 216-243-104-187.lobo.net
> $ host 216-243-104-187.lobo.net
> Host not found.
> 
> Da der sshd in dem Fall die Verbindung sofort wieder kappt,
> besteht keine Gefahr.  Der Angreifer kommt nicht einmal bis
> zum Login- oder Paßwort-Prompt, kann also auch keinen Wör-
> terbuchangriff o.ä. durchführen.

danke für diesen Hinweis, das lässt mich auch jeden Fall noch besser
schlafen. Hab mich schon lange gefragt was der sshd mit solchen
connect Versuchen macht.

Gruss
Matthias

--

-- 

"Programming today is a race between software engineers striving to build
bigger and better idiot-proof programs, and the universe trying to produce
bigger and better idiots. So far, the universe is winning." -- Rich Cook

To Unsubscribe: send mail to majordomo <at> de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message

(Continue reading)

Marian Hettwer | 2 Nov 2005 12:26

Picon

Re: Angriff auf SSH

Hallo Olli,

Oliver Fromme wrote:
> $ host 216.243.104.187
> 187.104.243.216.IN-ADDR.ARPA domain name pointer 216-243-104-187.lobo.net
> $ host 216-243-104-187.lobo.net
> Host not found.
> 
> Da der sshd in dem Fall die Verbindung sofort wieder kappt,
Die Meldungen treten auch auf, wenn VerifyReverseMapping nicht in der 
sshd_config ist. Hm. Entweder heisst das, daß VerifyReverseMapping 
default maessig an ist, und daher der Parameter in meiner sshd_config 
nicht vorhanden ist, oder aber die Logmeldungen treten auch auf, wenn 
entsprechender Parameter nicht gesetzt.
Egal. Auf jeden Fall kappt der sshd die Verbindung nicht, falls die 
Logmeldung auftaucht.
Bei mir selbst ist es leider häufiger der Fall, dass ich mit nem 
kaputten Reverse Lookup durchs internet geister und mich auf einige 
entfernte Server verbinde.
Ergebnis, eine Logmeldung vom format da oben, aber  der sshd kappt die 
Verbindung nicht.

> besteht keine Gefahr.  Der Angreifer kommt nicht einmal bis
> zum Login- oder Paßwort-Prompt, kann also auch keinen Wör-
> terbuchangriff o.ä. durchführen.
>
hhmm.... siehe oben. Oder hab ich da was falsch verstanden? ;)

> Falls Du den administrativen ssh-Login nur von bestimmten
> IP-Adressen (oder IP-Ranges) aus benötigst, wäre es evtl.

(Continue reading)

Oliver Fromme | 2 Nov 2005 13:25

Picon

Re: Angriff auf SSH

Marian Hettwer <MH <at> kernel32.de> wrote:
 > Die Meldungen treten auch auf, wenn VerifyReverseMapping nicht in der 
 > sshd_config ist. Hm. Entweder heisst das, daß VerifyReverseMapping 
 > default maessig an ist, und daher der Parameter in meiner sshd_config 
 > nicht vorhanden ist, oder aber die Logmeldungen treten auch auf, wenn 
 > entsprechender Parameter nicht gesetzt.
 > Egal. Auf jeden Fall kappt der sshd die Verbindung nicht, falls die 
 > Logmeldung auftaucht.

Ich habe eben mal einen kurzen Blick hinein geworfen und
festgestellt, daß die Angelegenheit etwas komplexer ist,
als ich bisher annahm.  

Erstens:  Es handelt sich um eine Warnmeldung, keine Feh-
lermeldung.  Das bedeutet, daß die Verbindung in der Tat
nicht gekappt wird.  Allerdings traut der sshd in dem Fall
auch dem Hostnamen nicht, der per DNS geliefert wird, d.h.
der Name wird für alle Authentisierungsbelange ignoriert
(z.B. from="..." in authorized_keys).

Zweitens:  VerifyReverseMapping ist per default aus, d.h.
man muß es eigentlich ausdrücklich auf »yes« setzen, um die
Checks und die zugehörigen Warnmeldungen zu bekommen.
Aber:  Bei bestimmten Authentisierungsmechanismen (konkret:
SSH1+Kerberos) wird der Check in jedem Fall durchgeführt,
unabhängig davon, worauf VerifyReverseMapping eingestellt
ist.

Gruß
   Olli

(Continue reading)

Peter Ross | 2 Nov 2005 09:20

Picon

Re: Angriff auf SSH

Hi Olli,

On Wed, 2 Nov 2005, Oliver Fromme wrote:

> Falls Du den administrativen ssh-Login nur von bestimmten
> IP-Adressen (oder IP-Ranges) aus benoetigst, waere es evtl.
> eine Überlegung wert, nur diese IPs fuer Port 22 freizu-
> schalten (per IPFW oder PF, oder auch zusaetzlich per TCP-
> Wrapper hosts_access(5)).  Dann haettest Du zumindest noch
> einen weiteren Riegel vor der Tür.

sshd hat auch eine Option dafuer, nur bestimmte Ports durchzulassen. Aber 
doppeltgemnaeht haelt immer besser..

Wenn es ging, habe ich Aussenzugriff via erst auf eine Kiste in der DMZ 
weitergeleitet, die ordentlich gehaertet war und auf der nichts weiter 
lief (das muss keine teure Hardware sein, fuer Maintenancezugriff reicht 
eine Kiste, die man fuer 'nen Hunderter bekommt).

Von da aus ging es dann weiter.. und auch mit Restriktionen, die erlaubten 
IP-Adressen betreffend.

Warum das Verlegen von ssh auf einen Port!=22 schaedlich sein soll, wie Du 
schreibst, erschliesst sich mir nicht. Da man damit einfach einen Haufen 
Skripte, die den sshd auf Port 22 erwarten, ignorieren kann, erhoeht sich 
die Sicherheit schon. Einen Nachteil kann ich nicht sehen.

Gruss
Peter

Oliver Fromme | 2 Nov 2005 12:10

Picon

Re: Angriff auf SSH

Peter Ross <Peter.Ross <at> alumni.tu-berlin.de> wrote:
 > Warum das Verlegen von ssh auf einen Port!=22 schaedlich sein soll,
 > wie Du schreibst, erschliesst sich mir nicht. Da man damit einfach
 > einen Haufen Skripte, die den sshd auf Port 22 erwarten, ignorieren
 > kann, erhoeht sich die Sicherheit schon.

Ich kann nicht nachvollziehen, wie sich dadurch die Sicher-
heit erhöhen sollte.  Der einzige Vorteil, den ich mir vor-
stellen könnte, ist, daß sich die Log-Dateien nicht mehr
mit so vielen Warnmeldungen füllen, aber da gibt es bessere
Möglichkeiten, um das zu vermeiden, z.B. automatisierte
Filter oder Auswertungstools wie z.B. logsurfer.

Den sshd unetr einer anderen Portnumemr zu »verstecken« ist
nichts weiter als Security-by-obscurity.  Wenn der sshd
eine Angriffsmöglichkeit hat (welcher Art auch immer), wo-
mit jemand unter Port 22 reinkäme, dann kommt er auch unter
jeder anderen Portnummer hinein.  Und es gibt Tools, die
auf allen möglichen Portnummern nach Anwendungen scannen,
also ist diese Art des Versteckspiels nutzlos.

 > Einen Nachteil kann ich nicht sehen.

Das Problem ist, daß man dazu neigt, sich auf Sicherheits-
maßnahmen zu verlassen, selbst wenn sie unwirksam sind,
was zur Folge hat, daß man nachlässig wird.  Und das kann
fatale Folgen haben.  So ähnlich wie die Leute, die dem
Irrglauben unterliegen, wenn sie ABS haben, könnten sie
gefahrlos schneller fahren.

(Continue reading)

Kai Kuehne | 2 Nov 2005 12:58

Picon

Re: Angriff auf SSH

Hi,

On 11/2/05, Oliver Fromme <olli <at> lurza.secnetix.de> wrote:
> Wenn ich z.B. in einem Rechner einbrechen wollte (man be-
> achte den Konjunktiv), würde ich versuchen, auf einem
> Drittweg an einen Key oder an ein Paßwort zu kommen (z.B.
> durch Keylogger, EMT-Scanner, Social-engineering o.ä.), und
> wenn ich feststellte, daß auf Port 22 offenbar kein sshd
> lauscht, würde ich halt einen Scanner verwenden.  Das hiel-
> te mich ungefähr 30 Sekunden auf.

Ja, ... du.
Leute, die sich gerade mal nen Tool runterladen und auf "Angriff"
druecken koennen, nicht. Und das (und nur das) ist der Vorteil.

Imho. :)

> Gruß
>    Olli

Kai

To Unsubscribe: send mail to majordomo <at> de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message

Peter Ross | 2 Nov 2005 10:45

Picon

Re: Angriff auf SSH

Hi Olli,

On Wed, 2 Nov 2005, Oliver Fromme wrote:

> Peter Ross <Peter.Ross <at> alumni.tu-berlin.de> wrote:
> > Warum das Verlegen von ssh auf einen Port!=22 schaedlich sein soll,
> > wie Du schreibst, erschliesst sich mir nicht. Da man damit einfach
> > einen Haufen Skripte, die den sshd auf Port 22 erwarten, ignorieren
> > kann, erhoeht sich die Sicherheit schon.
>
> Ich kann nicht nachvollziehen, wie sich dadurch die Sicher-
> heit erhoehen sollte.

Reine Wahrscheinlichkeitsrechnung: wenn eine von (x)tausend Attacken 
erfolgreich sein koennte, dann verringert sich die Wahrscheinlichkeit, 
wenn davon bereits vier Fuenftel duch "billige" Massnahmen wie das 
"Verstecken" des ssh abgeschmettert werden.

> Das Problem ist, dass man dazu neigt, sich auf Sicherheits-
> massnahmen zu verlassen, selbst wenn sie unwirksam sind,

"Man" vielleicht .. aber das muss nicht ich sein

Ich behaupte nicht eine Sekunde, dass ein anderer Port ausreichende 
Sicherheit gegen veraltete, unsichere sshds oder Passwoerter ist, die auf 
einer Webseite stehen..

> Wenn ich z.B. in einem Rechner einbrechen wollte (man be-
> achte den Konjunktiv), wuerde ich versuchen, auf einem
> Drittweg an einen Key oder an ein Passwort zu kommen (z.B.

(Continue reading)

Oliver Fromme | 2 Nov 2005 13:48

Picon

Re: Angriff auf SSH

Peter Ross <Peter.Ross <at> alumni.tu-berlin.de> wrote:
 > On Wed, 2 Nov 2005, Oliver Fromme wrote:
 > > [...]
 > > Wenn ich z.B. in einem Rechner einbrechen wollte (man be-
 > > achte den Konjunktiv), wuerde ich versuchen, auf einem
 > > Drittweg an einen Key oder an ein Passwort zu kommen (z.B.
 > > durch Keylogger, EMT-Scanner, Social-engineering o.ae.), und
 > > wenn ich feststellte, dass auf Port 22 offenbar kein sshd
 > > lauscht, wuerde ich halt einen Scanner verwenden.  Das hiel-
 > > te mich ungefaehr 30 Sekunden auf.
 > 
 > Die Skripte, deren "Anklopfen" Du in den Logfiles findest, duerften in den 
 > wenigsten Faellen Zugriff auf soziale Ressourcen haben oder auf unsicheren 
 > Wegen lauschen, sie sind zumeist Brute-Force-Attacken - mal gucken, ob 
 > Root-Zugriff erlaubt ist, und dann, ob das Passwort nicht z.B. das 
 > Firmenpasswort ist.

Vor solchen Kiddy-Scripten, die wahllos Netze aufs Greate-
wohl abklappern, habe ich keine Angst.  Hätte man Grund zu
der Annahme, daß man davor Angst haben müßte, dann hat man
ein ganz anderes Problem, das durch ein »Verstecken« des
Ports auch nicht behoben wird.

 > Fuer den Fall eines "echten" Menschen, wie Du beschreibst, hilft das 
 > Verstecken des Portes wirklich nichts, das ist korrekt.

Und genau vor sowas sollte man Angst haben:  Vor gezielten
Angriffsversuchen.

Ich gebe durchaus zu, daß man über diese Angelegenheit ge-

(Continue reading)

Marian Hettwer | 2 Nov 2005 09:53

Picon

Re: Angriff auf SSH

Hallo Sebastian,

Sebastian Stolz wrote:
> Hallo Liste,
> 
> heute Morgen hatte ich folgende Zeilen ca. 100 mal in meiner periodic 
> Statusmail:
> 
> Nov  1 01:15:27 srv sshd[75289]: reverse mapping checking getaddrinfo 
> for 216-243-104-187.lobo.net failed - POSSIBLE BREAKIN ATTEMPT!
> Nov  1 01:15:28 srv sshd[75291]: reverse mapping checking getaddrinfo 
> for 216-243-104-187.lobo.net failed - POSSIBLE BREAKIN ATTEMPT!
> 
ssh "würmer". Das sind meist automatisiertte attacken und in dem Fall 
beschwert sich halt der sshd, daß mit dem DNS der sich einloggenden IP 
nicht stimmt.

> ist das ein "Problem" und kann ich da irgendwas dagegen machen??? Leider 
> kann ich den Port nicht in
> der Firewall beschränken, da ich öffter's Fernwartung per SSH von einer 
> Einwahlleitung machen muss.
>
Naja, ein gängiger Weg wäre den sshd auf einen anderen Port als 22  zu 
legen. Gefällt mir aber nicht sonderlich gut (security by obscurity).
Ansonsten gelten die üblichen Regeln
- direkten rootlogin via ssh verbieten (PermitRootLogin No in sshd_config)
- wenn's geht public keys benutzen und keyboard-interactive (also 
direkte passworteingabe verbieten)
- ordentliche Passwörter für sämtliche Benutzer und Private Keys
- leben mit den Warnmeldungen und den zugespammten logfiles

(Continue reading)

Oliver Fromme | 2 Nov 2005 11:07

Picon

Re: Angriff auf SSH

Marian Hettwer <MH <at> kernel32.de> wrote:
 > Sebastian Stolz wrote:
 > > [...]
 > > ist das ein "Problem" und kann ich da irgendwas dagegen machen??? Leider 
 > > kann ich den Port nicht in
 > > der Firewall beschränken, da ich öffter's Fernwartung per SSH von einer 
 > > Einwahlleitung machen muss.
 > 
 > Naja, ein gängiger Weg wäre den sshd auf einen anderen Port als 22  zu 
 > legen. Gefällt mir aber nicht sonderlich gut (security by obscurity).

Davon würde ich auch eher abraten.  Sowas ist häufig eher
schädlich als nützlich.

 > Ansonsten gelten die üblichen Regeln
 > - direkten rootlogin via ssh verbieten (PermitRootLogin No in sshd_config)

Ja (das sollte aber eh der Default sein).

 > - wenn's geht public keys benutzen und keyboard-interactive (also 
 > direkte passworteingabe verbieten)

Keyboard-interactive würde ich nicht verbieten, denn dann
könntest Du z.B. OPIE nicht mehr benutzen.  Aber Du meinst
vielleicht PasswordAuthentication; das kann man in der Tat
verbieten.

Public-Keys können sinnvoll sein, sofern man der Client-
Maschine vertrauen kann, von der aus man sie verwendet (was
bei einer Windows-Maschine meiner Meinung nach nicht gege-

(Continue reading)

WasOs.NET Sven Leuenberger | 2 Nov 2005 11:49

Re: Angriff auf SSH

 > Oliver Fromme schrieb:
> Marian Hettwer <MH <at> kernel32.de> wrote:
>  > Sebastian Stolz wrote:
>  > > [...]
>  > > ist das ein "Problem" und kann ich da irgendwas dagegen machen??? Leider 
>  > > kann ich den Port nicht in
>  > > der Firewall beschränken, da ich öffter's Fernwartung per SSH von einer 
>  > > Einwahlleitung machen muss.
>  > 
>  > Naja, ein gängiger Weg wäre den sshd auf einen anderen Port als 22  zu 
>  > legen. Gefällt mir aber nicht sonderlich gut (security by obscurity).
> 
> Davon würde ich auch eher abraten.  Sowas ist häufig eher
> schädlich als nützlich.
> 
>  > Ansonsten gelten die üblichen Regeln
>  > - direkten rootlogin via ssh verbieten (PermitRootLogin No in sshd_config)
> 
> Ja (das sollte aber eh der Default sein).
> 
>  > - wenn's geht public keys benutzen und keyboard-interactive (also 
>  > direkte passworteingabe verbieten)
> 
> Keyboard-interactive würde ich nicht verbieten, denn dann
> könntest Du z.B. OPIE nicht mehr benutzen.  Aber Du meinst
> vielleicht PasswordAuthentication; das kann man in der Tat
> verbieten.
> 
> Public-Keys können sinnvoll sein, sofern man der Client-
> Maschine vertrauen kann, von der aus man sie verwendet (was

(Continue reading)

Oliver Fromme | 2 Nov 2005 12:22

Picon

Re: Angriff auf SSH

WasOs.NET Sven Leuenberger <leuenberger <at> wasos.net> wrote:
 > > Oliver Fromme schrieb:
 > > [...]
 > > Public-Keys können sinnvoll sein, sofern man der Client-
 > > Maschine vertrauen kann, von der aus man sie verwendet (was
 > > bei einer Windows-Maschine meiner Meinung nach nicht gege-
 > > ben ist).  Alternativ kann man Einmal-Paßwörter verwenden
 > > (OPIE, S/Key o.ä.)
 > 
 > Also ich bin ja auch kein Fan von Windoze aber ich kann sogar ein OpenBSD 
 > unsicher machen wenn ich es falsch konfiguriere, bzw. ich kann mit der 
 > richtigen Konfiguration auch ein Windoze 'sicherer' machen. Es kommt immer 
 > drauf an in welcher Form ein OS konfiguriert und benutzt wird.

Klar, aber ein normales BSD (egal ob Open- oder sonstwas)
ist nicht anfällig gegen die hunderttausend Trojaner,
Würmer und sonstige Exploits, mit deren Hilfe es nicht
schwer ist, eine Backdoor, einen Key-logger o.ä. einzu-
schmuggeln.  Ich würde es einem normalen Windows-Benutzer
nicht zutrauen, sein System in dieser Hinsicht wasserdicht
machen zu können.  Ich traue es nichtmal vielen ausgebil-
deten Windows-Admins zu.

 > Bei einmal Passwörtern frag ich mich nun nur, wie Du das konfigurierst, 
 > dass der sshd immer das aktuelle PW weis, etc.

Du solltest mal nachlesen, wie OPIE oder S/Key funktio-
niert.  Offenbar ist das Neuland für Dich.

(In der Praxis verwendet man heutzutage wohl am ehesten

(Continue reading)

WasOs.NET Sven Leuenberger | 2 Nov 2005 13:39

Re: Angriff auf SSH

< Oliver Fromme schrieb:
> WasOs.NET Sven Leuenberger <leuenberger <at> wasos.net> wrote:
>  > > Oliver Fromme schrieb:
>  > > [...]
>  > > Public-Keys können sinnvoll sein, sofern man der Client-
>  > > Maschine vertrauen kann, von der aus man sie verwendet (was
>  > > bei einer Windows-Maschine meiner Meinung nach nicht gege-
>  > > ben ist).  Alternativ kann man Einmal-Paßwörter verwenden
>  > > (OPIE, S/Key o.ä.)
>  > 
>  > Also ich bin ja auch kein Fan von Windoze aber ich kann sogar ein OpenBSD 
>  > unsicher machen wenn ich es falsch konfiguriere, bzw. ich kann mit der 
>  > richtigen Konfiguration auch ein Windoze 'sicherer' machen. Es kommt immer 
>  > drauf an in welcher Form ein OS konfiguriert und benutzt wird.
> 
> Klar, aber ein normales BSD (egal ob Open- oder sonstwas)
> ist nicht anfällig gegen die hunderttausend Trojaner,
> Würmer und sonstige Exploits, mit deren Hilfe es nicht
> schwer ist, eine Backdoor, einen Key-logger o.ä. einzu-
> schmuggeln.  Ich würde es einem normalen Windows-Benutzer
> nicht zutrauen, sein System in dieser Hinsicht wasserdicht
> machen zu können.  Ich traue es nichtmal vielen ausgebil-
> deten Windows-Admins zu.
> 
>  > Bei einmal Passwörtern frag ich mich nun nur, wie Du das konfigurierst, 
>  > dass der sshd immer das aktuelle PW weis, etc.
> 
> Du solltest mal nachlesen, wie OPIE oder S/Key funktio-
> niert.  Offenbar ist das Neuland für Dich.

(Continue reading)

Sebastian Stolz | 2 Nov 2005 10:10

Picon

Re: Angriff auf SSH

Marian Hettwer schrieb:
> 
> Naja, ein gängiger Weg wäre den sshd auf einen anderen Port als 22  zu 
> legen. Gefällt mir aber nicht sonderlich gut (security by obscurity).
> Ansonsten gelten die üblichen Regeln
> - direkten rootlogin via ssh verbieten (PermitRootLogin No in sshd_config)
> - wenn's geht public keys benutzen und keyboard-interactive (also 
> direkte passworteingabe verbieten)
> - ordentliche Passwörter für sämtliche Benutzer und Private Keys
> - leben mit den Warnmeldungen und den zugespammten logfiles
> 

Hi Marian,

den Port werde ich auf 22 lassen und der root Zugriff ist verboten...
public keys ...hmm... da muss ich dann auch auf die Schlüssel aufpassen!? Ist wohl nicht
so gut, da ich hier ne Windoze Kiste hab... aber ich hab ordentliche Passwörter (zufallsgeneriert)

wenn ich weiss, das es kein erfolgreicher Login ist, dann bin ich ja beruhigt und kann 
"weiterschlafen" 

Gruß und Danke

Sebastian

To Unsubscribe: send mail to majordomo <at> de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message

Return

Return to gmane.os.freebsd.questions.german.

Project Web Page

Allgemeine Fragen von Benutzern zu FreeBSD

Search Archive

Language

Change language

Options

Current view: Threads only / Showing only 20 lines / Not hiding cited text.
Change to All messages, whole messages, or hide cited text.

Post a message
NNTP Newsgroup
Classic Gmane web interface
XML

XML

RSS Feed
List Information

About Gmane