PAM tarpit modul

 ( frank | 2004. november 19., péntek - 11:58 )

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Sziasztok,

[code:1:ba9de316ca]
Security Events
=-=-=-=-=-=-=-=
Nov 18 02:53:39 marcus sshd[19153]: Failed password for illegal user test from 211.114.61.213 port 40273 ssh2
Nov 18 02:53:39 marcus sshd[8816]: Failed password for illegal user test from 211.114.61.213 port 40281 ssh2
Nov 18 02:53:43 marcus sshd[14930]: Failed password for illegal user guest from 211.114.61.213 port 40351 ssh2
Nov 18 02:53:43 marcus sshd[21225]: Failed password for illegal user guest from 211.114.61.213 port 40350 ssh2
Nov 18 02:53:46 marcus sshd[28144]: Illegal user admin from 211.114.61.213
Nov 18 02:53:46 marcus sshd[28144]: Failed password for illegal user admin from 211.114.61.213 port 40429 ssh2
Nov 18 02:53:50 marcus sshd[4670]: Illegal user admin from 211.114.61.213
[/code:1:ba9de316ca]
es az ilyen uzenetek vegelathatatlan sora. csak szeretnem megtudni, hogy milyen kulonbozo technikak leteznek linuxon ennek a blokkolasara, a nyilvanvalo tuzfal DROP/REJECT-en kivul.

olvastam egy esetleges PAM modulos TARPIT megoldasrol SSH-hoz, de hasznalhato howto-t nem talaltam hozza. mondjuk az szamomra elfogadhato megoldas lenne, ha pl 3 false autentikacio utan tarpitbe kerulne, es nem engedne el a kapcsolatot.

Frank

Nem a kérdésedre válaszolok, de egy ismerős szerverét éppen mostanában törték meg ssh-n keresztül. Ott is hasonlóak voltak a syslog-ban. Először trivilális user nevekkel kezdett, aztán dictionary alapján, aztán jött a brute force. Lehet, hogy nálad is ez történik.
Mindenképpen frissitsd az sshd-t és esetleg használj másik portot, ne a szabványosat.

Ui.: a vége az lett, hogy a támadó lecserélt minden fontos binárist. A log file-ok is csak a mentésekből voltak elérhetőek eredeti formájukban.

Az egyik legjobb védekezés, ha eldugod az sshd portot mondjuk a 22563-asra. Általában nem szoktak ilyen portokkal bíbelődni. Én ezt csináltam és azóta egyetlenegy támadás sem volt :)
A futtatható fájlokat tartalmazó partíciókat mountold be read-onlyként.
Használj egy változásfigyelőt, ami lehetőleg ne az inkriminált gépen fusson, hanem a belső hálón.
Használj grsecurityt és az ssh-zókat tedd jailbe.
A root-ot meg felejtsd el, mindenki, még a rendszergazda is használjon sudo-t, amiben szépen, egyenként engedélyezd a dolgokat.
Akinek minden jog megvan a sudoersben, annak ne legyen triviális felhasználóneve, hanem valami bonyolult.

[quote:1ea7aeff1b="norcrys"] az ssh-zókat tedd jailbe.[/quote:1ea7aeff1b]

hogyan is?

[quote:604de05c90="frank"][quote:604de05c90="norcrys"] az ssh-zókat tedd jailbe.[/quote:604de05c90]

hogyan is?[/quote:604de05c90]

Ez nem olyan egyszerű, el kell olvasni egy idevonatkozó howto-t.

Szia!

Ha a port-ot átállítod valami exotikus értékre, akkor még egy hasznos védelem lehet a portsentry. Ez detektálja a portmap próbálkozásokat, sok féle advanced keresést is észrevesz. A lebukott host-okra létrehoz tetszőleges iptables szabályt, vagy berakja a host.deny-ba, vagy lefuttat egy tetszőleges szkriptet. `sed 's/vagy/és\/vagy/g ${elozo_mondat}` :)

Üdv.: Tomyellow

[quote:3929f1cbc8="frank"]Sziasztok,

[code:1:3929f1cbc8]
Security Events
=-=-=-=-=-=-=-=
Nov 18 02:53:39 marcus sshd[19153]: Failed password for illegal user test from 211.114.61.213 port 40273 ssh2
Nov 18 02:53:39 marcus sshd[8816]: Failed password for illegal user test from 211.114.61.213 port 40281 ssh2
Nov 18 02:53:43 marcus sshd[14930]: Failed password for illegal user guest from 211.114.61.213 port 40351 ssh2
Nov 18 02:53:43 marcus sshd[21225]: Failed password for illegal user guest from 211.114.61.213 port 40350 ssh2
Nov 18 02:53:46 marcus sshd[28144]: Illegal user admin from 211.114.61.213
Nov 18 02:53:46 marcus sshd[28144]: Failed password for illegal user admin from 211.114.61.213 port 40429 ssh2
Nov 18 02:53:50 marcus sshd[4670]: Illegal user admin from 211.114.61.213
[/code:1:3929f1cbc8]
es az ilyen uzenetek vegelathatatlan sora. csak szeretnem megtudni, hogy milyen kulonbozo technikak leteznek linuxon ennek a blokkolasara, a nyilvanvalo tuzfal DROP/REJECT-en kivul.

olvastam egy esetleges PAM modulos TARPIT megoldasrol SSH-hoz, de hasznalhato howto-t nem talaltam hozza. mondjuk az szamomra elfogadhato megoldas lenne, ha pl 3 false autentikacio utan tarpitbe kerulne, es nem engedne el a kapcsolatot.

Frank[/quote:3929f1cbc8]

Ez azóta van, mióta nyár vége fele kijött egy SSHd sebezhetőség. Lényege: ha egy usernek nincs engedélyezve az SSH használat, akkor a daemon eltérő idő múlva ad hibaüzenetet ha a megfelelő jelszóval próbálkoznak, mintha hibással.
Egyből megindultak a béna script-ekkel.

Én szeretem látni ezeket a logokban. Nem árt tudni, mekkora az aktivitás.

Üdv,
Dw.