Hallo!

Seit einiger Zeit spammen mir zweimal die Woche irgendwelche Leute den syslog zu, indem sie ca. 2 Stunden lang versuchen einen Benutzernamen aus einer Liste zu erwischen und sich damit anzumelden. Kann ich irgendwie erreichen, dass eine IP nach ca. 3 Fehlversuchen für ein paar Stunden auf dem ssh Port gesperrt wird?

MfG Konstantin

Hilft heise Netze - SSH absichern weiter?

Stichwort pam_abl

Gruß
Yopie

Hier mal die Kopie einer Anleitung, welche ich vor langer Zeit in einem Forum eines Providers gepostet habe (ist aber immer noch gültig). In der Anleitung geht es darum, wie man sich als normaler User über Key Authentication einloggt, was sicherer ist als eine normale Anmeldung mittels Passwort.



Hier eine Anleitung (für Debian) wie es geht. Den hier genannten user BENUTZER ersetze durch einen von dir benutzen User.

Lies dir erstmal alles einmal durch, bevor du beginnst, falls was unklar ist stell die Fragen bevor du beginnst, sonst sperrst du dich am Ende noch selbst aus.

1. Putty hast du ja schon, hol dir erstmal ebenfalls puttygen und starte es.

2. Bei "Typ of key to generate" stell auf SSH-2-DSA. Die Bit Anzahl darunter kannst du wenn du willst auf 2048 erhöhen.

3. Klick jetzt auf "Generate" und fahr mit der Maus vollkommen planlos über die große leere Fläche.

4. Sind die Keys fertig erstellt gib bei "Key passphrase" bzw. darunter nocheinmal ein möglichst langes Passwort ein. Speichere jetzt sowohl den öffentlichen als auch den privaten Schlüssel durch klicken auf "Save public key" und "Save private key". Schließe puttygen noch nicht !!!

5. Logg dich jetzt über SSH auf den Server als BENUTZER ein.

6. Erstelle im Home Verzeichnis von BENUTZER folgende Ordner:
Code: cd /home/BENUTZER
mkdir .ssh

7. Kopier den Inhalt von "Public key for pasting into OpenSSH authorized_keys" jetzt nach .ssh/authorized_keys:
Code: nano -w .ssh/authorized_keys
Das -w nicht vergessen! Den in die Zwischenablage kopierten Inhalt von puttygen fügst du in den Editor ganz einfach durch Rechstklicken ins Putty Fenster ein.
Mit Strg+X und Enter Drücken speicherst du das File.
Wenn du einen anderen Editor als nano verwendest stelle sicher, dass die reinkopierten Daten in einer Zeile stehen, also nicht umgebrochen werden. Bei nano gibts dafür den Parameter -w.

8. Wenn du willst kannst du puttygen jetzt beenden, Putty bleibt weiter verbunden.

9. Werde root.

10. Stelle in /etc/ssh/sshd_config folgende Sachen ein/um:

Dreh den root Login ab:
Code: PermitRootLogin no


Nur Protokoll SSH2 verwenden:
Code: Protocol 2

Passwort Anmeldung abdrehen:
Code: PasswordAuthentication no

Key Anmeldung einschalten:
Code: PubkeyAuthentication yes

Login muss innerhalb von 30 Sekunden erfolgen, danach beendet ssh die Verbindung:
Code: LoginGraceTime 30

Nur ein User gleichzeitig, kannst du nach Wunsch auch erhöhen:
Code: MaxStartups 1

Erlaube nur den Login von BENUTZER:
Code: AllowUsers BENUTZER
UsePrivilegeSeparation yes
StrictModes yes

Wenn man mehrere User erlauben will einfach mit Leerzeichen getrennt auflisten:
Code: AllowUsers BENUTZER1 BENUTZER2 BENUTZER3
UsePrivilegeSeparation yes
StrictModes yes

Hierbei nicht die "MaxStartups" Option vergessen, wenn sich alle angeführten User gleichzeitig via SSH einloggen können sollen muss die Zahl nach "MaxStartups" der Anzahl der aufgelisteten User entsprechen.

Alle anderen Anmeldeverfahren deaktivieren wir. ACHTUNG: Such bitte in deiner sshd_config nach den aufgeführten Verfahren, es kann sein, dass dein ssh nicht alle unterstützt und dann startet ssh nicht wenn er welche nicht kennt. Ändere also nur die jeweiligen Zeilen, was nicht da ist füg auch nicht ein. Einiges wird auskommentiert sein, entferne das # um die Deaktivierung sicherzustellen.
Code: RSAAuthentication no
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
IgnoreUserKnownHosts yes
ChallengeResponseAuthentication no

Leere Passwörter wollen wir nicht:
Code: PermitEmptyPasswords no

Ändere den Port auf dem SSH läuft auf einen beliebigen anderen (also nimm was anderes als die hier genannte Nummer *g*):
Code: Port 3489

11. Speichere sshd_config. PUTTY NICHT SCHLIEßEN!

12. Starte ssh neu:
Code: /etc/init.d/ssh restart
Deine jetzige ssh Session läuft trotzdem weiter, PUTTY NICHT SCHLIEßEN!
Wenn es Fehler in der sshd_config gibt werden diese gemeldet.

13. Starte Putty ein zweites Mal, DIE BEREITS OFFENE PUTTY-SESSION NICHT SCHLIEßEN!

14. In Putty folgendes einstellen:
- Host Name (or IP address): Deine Server IP (eh klar *g*)
- Den vorher selbst gewählten Port eintragen
- Unter SSH-Auth wählst du bei "Private key file for authentication" den vorher gespeicherten Private Key (Punkt 4) aus.

15. Damit du das Ganze nicht jedes mal neu eingeben musst, empfehle ich diese Einstellungen zu speichern. Dazu gib im Textfeld unter "Saved Sessions" einen Namen deiner Wahl an und klick auf Save. Wenn du später connecten willst musst du nur auf den von dir angegebenen Sessionnamen in dem Listenfeld doppelklicken.

16. Klick auf "Open" zum Verbinden bzw. doppelklicke auf den Sessionname (Punkt 15). Als Benutzer gibts du BENUTZER ein, als Passwort muss du das Passwort nehmen, welches du vorher in Puttygen eingegeben hast (Punkt 4).


Wenn alles geklappt hat bist du jetzt eingeloggt und kannst die andere Putty Session schließen. Wenn es nicht klappt hast du noch die andere offen um den Fehler zu beheben, daher die vielen "PUTTY NICHT ...", damit du dich nicht aussperrst.

X. Warum ist das Ganze jetzt sicherer?
Ganz einfach, weil jetzt keine Passwörter mehr übertragen werden, um sich einzuloggen braucht man die Files, die du auf deine Festplatte gespeichert hast, ohne die kommt man nicht rein. Achte also darauf, dass du sie nicht verlierst oder an andere weitergibst.