SHH - jak zabránit útokům?

[emko1]

V logu mám deně tuny odmítnutých pokusů o SSH:

Jan 23 19:20:37 localhost sshd[5595]: Failed password for invalid user tubosid from 80.124.167.194 port 57765 ssh2
Jan 23 19:20:42 localhost sshd[5597]: Invalid user tubosid from 80.124.167.194
Jan 23 19:20:42 localhost sshd[5597]: (pam_unix) check pass; user unknown
Jan 23 19:20:42 localhost sshd[5597]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=80.124.167.194
Jan 23 19:20:44 localhost sshd[5597]: Failed password for invalid user tubosid from 80.124.167.194 port 57976 ssh2
Jan 23 19:20:51 localhost sshd[5599]: Invalid user adabas from 80.124.167.194
Jan 23 19:20:51 localhost sshd[5599]: (pam_unix) check pass; user unknown
Jan 23 19:20:51 localhost sshd[5599]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=80.124.167.194
Jan 23 19:20:53 localhost sshd[5599]: Failed password for invalid user adabas from 80.124.167.194 port 58375 ssh2
Jan 23 19:20:55 localhost sshd[5601]: Invalid user adabas from 80.124.167.194
Jan 23 19:20:55 localhost sshd[5601]: (pam_unix) check pass; user unknown
Jan 23 19:20:55 localhost sshd[5601]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=80.124.167.194
Jan 23 19:20:57 localhost sshd[5601]: Failed password for invalid user adabas from 80.124.167.194 port 58894 ssh2
Jan 23 19:21:02 localhost sshd[5603]: Invalid user adabas from 80.124.167.194
Jan 23 19:21:02 localhost sshd[5603]: (pam_unix) check pass; user unknown
Jan 23 19:21:02 localhost sshd[5603]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=80.124.167.194

Pátral jsem, ale nenašel jsem nic než: http://wiki.linux.cz/index.php/Automatick%C3%A1_blokace_%C3%BAtok%C5%AF_na_SSH  - z čehož nejsem moc moudrej.

Máte-li někdo řešení, poradtě prosím - podotýkám, že přístup přes SSH potřebuji beze změny portu 22 a omezení útoků by mělo být automatické.

[vadimo]

Kde sa nachádzajú tie logy?

[emko1]

/var/log/auth.log

[LS]

Povolte pripojeni pres ssh pouze z konkretnich autorizovanych IP adres. Bud v /etc/hosts.allow, nebo nastavenim firewallu.

[Pavelp]

Nastavit firewall tak aby odmital spojeni. Kdyz to jde, tak ze vsech, mimo spravne IP. Kdyz ne, tak povolit jen sit z ktere se pripojujete a ostatni zablokovat. Pokud to nejde ani jednim ze zpusobu (lezou tam z Vasi site) musite blokovat kazdou IP specialne, coz je dost pracne.  Je doporuceno dat jako odmitnuti prikaz REJECT, ne DROP. To se zahodi bez odezvy, ale kdyz dostane zpet zpravu, ze sluzba neexistuje, nektery toho necha. Mam v logach denne nekolik takovych pokusu.

[emko1]

z lokální sítě snad nikdo neleze, UBUNTU mám za routrem

používám firehol:

home_ips="xx.xx.xx.xx"
interface eth0 external src not "${home_ips} ${UNROUTABLE_IPS}"
    policy drop
    protection strong 10/sec 10

    server ssh       accept
    server ping     accept
    server ftp      accept
    server samba    accept
   
    client all      accept

takže mám změnit na

home_ips="xx.xx.xx.xx"
interface eth0 external src not "${home_ips} ${UNROUTABLE_IPS}"
    policy reject
    protection strong 10/sec 10

    server ssh       accept
    server ping     accept
    server ftp      accept
    server samba    accept
   
    client all      accept

[LS]

Zamena REJECT za DROP neni uplne jednoznacna. Nekdy muze byt efekt opacny, kdyz mate nastaveno DROP, jevi se to utocnikovi tak, ze se na druhe strane na prislusnem portu vubec neposloucha, nebo ze na druhe strane pocitac vubec nebezi. To muze utocnika odradit a zkusi utocit na jinou IP. Kdyz mate nastaveno REJECT, je jasne, ze se na druhem konci dratu posloucha, ale ze je port blokovany. Pak se utocnik muze na vasi IP zamerit a bude to zkouset tak dlouho, dokud nekde nenajde diru.

pokud chcete omezit prihlasovani pres SSH pouze z urcitych autorizovanych adres, upravte prislusny radek konfigurace fireholu:

Kód: [Vybrat]

server   ssh   accept   src "xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy zzz.zzz.zzz.zzz"muzete pouzit i syntaxi "sit/maska"

[emko1]

Lukáši díky za rady, jeví se jako nej řešní. Problém povolených IP je, že dopředu nevím z jakých IP budu na server přistupovat.
Další řešení, sice kostrbaté, ale funkční, by mohlo být zakázat SSH na routeru a v případě potřeby si jej dálkově povolit.

[sosna]

Lukáši díky za rady, jeví se jako nej řešní. Problém povolených IP je, že dopředu nevím z jakých IP budu na server přistupovat.
Další řešení, sice kostrbaté, ale funkční, by mohlo být zakázat SSH na routeru a v případě potřeby si jej dálkově povolit.

Puzivam pam modul pam-abl
http://www.abclinuxu.cz/blog/pb/2005/6/6/89653

[calcumat]

Pouzivam len par pravidiel v IPTABLES, nastavenych "rucne" (inak samozrejme ulozene pravidla).
konkretne u mna (len "podstatne" riadky, pravidlo v INPUT musi byt PRED akymkolvek pravidlom povolujucim komunikaciu na dport 22, cize ten prikaz je potrebne ked tak zmenit

Kód: [Vybrat]

sudo iptables -N ssh-flood
sudo iptables -A INPUT -p tcp -m state --dport 22 --state NEW -j ssh-flood
sudo iptables -A ssh-flood -m limit --limit 2/min --limit-burst 2 -j ACCEPT
sudo iptables -A ssh-flood -j DROPAk pride do minuty viac nez 2 spojenia na SSH (t.j. tretie a dalsie), tieto su zahodene...
Ako zaklad je to dobre, ale este lepsie skombinovat to s tym pam-abl

[Petr Merlin Vaněček]

Jednak pomaha zakazani syn-flood, dvak ssh-flood a do tretice vseho dalsiho bych to neresil Z vlastni zkusenosti vim, ze utocnik pouziva  jmena a hesla z urcite stable databaze, ktera 1) obsahuje anglicka jmena 2)ke kazdemu takovemu jmenu zkusi par hesel jako je "auto" "boeing" "monkey" atd.

Nevim jak vy, ale ja pouzivam trochu komplikovanejsi hesla, jako dobry "generator" hesel se mi osvedcil md5sum, kdy vezmu retezec uz. jmena, doplnim jej o nahodna cisla a cast z toho, co dostanu pouziju:

Kód: [Vybrat]

merlin@merlin:~$ echo "0me5rli6n" | md5sum
073de94af6fc854005cf5eb446ed9a1b  -takze tady bych si vybral treba 073de94af6 :-D

[jeffik1]

Šlo by připojení přes ssh zvenku omezit jen na jednoho uživatele?

[Boris Filipovič]

man sshd
AllowUsers

b.f.