kostenloser Webspace werbefrei: lima-city


Sicherheitslücke bei SSH konfiguration?

lima-cityForumHeim-PCBetriebssysteme

  1. Autor dieses Themas

    makawa

    makawa hat kostenlosen Webspace.

    Hallo alle zusammen,
    Ich bin seit einigen Tagen stolzer Besitzer eines vServers. Da ich im voraus schon viele Schauergeschichten über gehackte vServer gelesen habe, und da auch mein Gerät bei der Auslieferung bereits Opfer mehrere SSH Brut-force Attacken war, kümmerte ich mich als erstes um die Absicherung. Als erstes installierte ich das Betriebssystem über das Webpannel neu, dann installierte ich ufw und verbot alles aus Port 22. Zu guter Letzt konfigurierte ich sshd für die Verwendung von Zertifikaten und deaktivierte Autorisierung über Passwörter ganz.
    Danach fühlte ich mich eigentlich einigermaßen sicher. Bei meinen Tests kam ich ohne Zertifikat nicht mehr auf den Server, noch nicht einmal in die logfiles.
    Jetzt nach einigen Stunden finde ich jedoch wieder mehrere Hundert Einträge in meiner auth.log, alle mit dem vermerk:
    "reverse mapping checking getaddrinfo for ip223.hichina.com [223.4.208.56] failed - POSSIBLE BREAK-IN ATTEMPT!"
    Die IP (btw. aus China) ist zumindest auf Blocklist.de bekannt für Brutforce Attacken. Und die Fehlermeldung bedeutet laut Google, dass die Domain nicht zur IP passt. Aber eigentlich müsste doch jede Anfrag ohne Zertifikat mit "Permission denied (publickey)." abgewehrt werden, ohne das sie in logfils auftaucht?
    Ich gehe jetzt mal nicht davon aus das die versuchen per Brutforce meine Keyfiles zu erraten?

    Vielen Dank für alle Antworten im Vorraus
    ein leicht verängstigter makawa
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. thomasba

    Co-Admin Kostenloser Webspace von thomasba

    thomasba hat kostenlosen Webspace.

    makawa schrieb:
    Ich bin seit einigen Tagen stolzer Besitzer eines vServers. Da ich im voraus schon viele Schauergeschichten über gehackte vServer gelesen habe, und da auch mein Gerät bei der Auslieferung bereits Opfer mehrere SSH Brut-force Attacken war, kümmerte ich mich als erstes um die Absicherung. Als erstes installierte ich das Betriebssystem über das Webpannel neu, dann installierte ich ufw und verbot alles aus Port 22. Zu guter Letzt konfigurierte ich sshd für die Verwendung von Zertifikaten und deaktivierte Autorisierung über Passwörter ganz.
    Vorbildlich :smile:

    Danach fühlte ich mich eigentlich einigermaßen sicher. Bei meinen Tests kam ich ohne Zertifikat nicht mehr auf den Server, noch nicht einmal in die logfiles.
    Jetzt nach einigen Stunden finde ich jedoch wieder mehrere Hundert Einträge in meiner auth.log, alle mit dem vermerk:
    "reverse mapping checking getaddrinfo for ip223.hichina.com [223.4.208.56] failed - POSSIBLE BREAK-IN ATTEMPT!"

    Dies ist lediglich ein Hinweis, dass der zur IP gehörige rDNS Eintrag nicht existiert. Da versucht also nur ein dummer Bot sich anzumelden.

    Ich gehe jetzt mal nicht davon aus das die versuchen per Brutforce meine Keyfiles zu erraten?
    Nope, da will sich nur ein Bot verbinden und eine Anmeldung via Passwort versuchen
  4. Autor dieses Themas

    makawa

    makawa hat kostenlosen Webspace.

    Vorbildlich :smile:
    Danke xD

    Das heißt das der Eintrag nur wegen dem DNS Fehler entsteht und dass mir ein Bot ohne mein Zertifikat (oder einem Exploit) nichts anhaben kann?
    Aber warum kapiert dieses Ding nicht das es keinen Keyfile hat und bomt mir einfach sinnlos meine Logfiles zu? Wenn der Programmierer etwas Ahnung hätte würde er doch nach dem ersten Versuch abbrechen?
  5. makawa schrieb:
    Vorbildlich :smile:
    Danke xD

    Das heißt das der Eintrag nur wegen dem DNS Fehler entsteht und dass mir ein Bot ohne mein Zertifikat (oder einem Exploit) nichts anhaben kann?

    Richtig


    Aber warum kapiert dieses Ding nicht das es keinen Keyfile hat und bomt mir einfach sinnlos meine Logfiles zu? Wenn der Programmierer etwas Ahnung hätte würde er doch nach dem ersten Versuch abbrechen?

    Wenn man bei deinem Server direkt sieht, dass Passwort-Login nicht möglich ist, gebe ich dir Recht. Aber Computer sind nunmal doof und das entsprechende Programm läuft solange weiter, bis die Programmlogik sagt, dass es aufhören soll.
  6. t**k

    Wenn es dich stört kannst du ja über iptables die IP-Adresse blocken, dann ist das nicht mehr in deinen Logs.
  7. Gegen nervige Bots hilft oft auch schon, den SSH-Server auf einem Nicht-Standard-Port horchen zu lassen, siehe auch Security by Obscurity. Hilft natürlich nicht gegen Menschen, die irgendwie in den Server rein kommen wollen und sollte natürlich auch auf keinen Fall als einzige Sicherheitsmaßnahme verwendet werden, aber gegen Bots, die bei tausenden Servern versuchen, sich per SSH über Port 22 zu verbinden, hilft es die Logfiles nicht unnötig aufzublähen.

    Lg cookies
  8. Hallo :wave:

    Da kenne ich jemanden, der ganz wild auf two factor authentication mit google Authenticator ist.

    In meinen Augen alles Schwachsinn, einfach den SSH Port ändern und als Passwort etwas wie diesespassworterraetkeiner!"§$%&/()= nehmen, dann braucht man keinerlei extra Software wie fail2ban oder sonstiges. Habe auf einem nicht-standard-Port bislang noch nicht einmal einen Einbruchsversuch gesehen.

    mfg :wave:
  9. voloya schrieb:
    In meinen Augen alles Schwachsinn, einfach den SSH Port ändern und als Passwort etwas wie diesespassworterraetkeiner!"§$%&/()= nehmen, dann braucht man keinerlei extra Software wie fail2ban oder sonstiges. Habe auf einem nicht-standard-Port bislang noch nicht einmal einen Einbruchsversuch gesehen.

    Das ist durchaus richtig, aber die Verwendung von Zertifikaten ist nun auch nicht sooo kompliziert. Und dann kann man bei den Log-Einträgen auch einfach die Versuche rausfiltern, die keine Zertifikate verwenden.
  10. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!