Tag liebes Forum!
Das ist mein erster Post hier.
Ich habe auf meinen eigenen Rechnern (Squeeze) den SSH-Port auf 11111 gelegt und hatte damit bisher keine Vorkommnisse, zumal die nicht statisch am Netz hängen.
Nun habe ich aber Produktivserver zur Verwaltung bekommen (alle Lenny), die alle 22 nutzen und bei denen der Port gewollt vom Internet aus zu erreichen ist. Ich hab in die Logs geschaut und einen Haufen Loginversuche gefunden. Das geht ja gar nicht.
Ich habe mich also mit dem o.g. Thema befasst und war sehr erstaunt:
Zuerst kommt man auf Seiten, die fail2ban oder DenyHost propagieren. Howtos mit allem drum und dran sind da. Aber beide Werkzeuge suchen in einem festgelegten Zeitabstand die Logdateien nach fehlerhaften Logins ab. Das resultiert dann in IP-Sperren. Da habe ich mich doch gefragt: Selbst wenn ich eines dieser Skripte alle 5 Minuten laufen lasse, hat ein Angreifer immernoch 5 Minuten Zeit, so viele Angriffe wie möglich laufen zu lassen. Er wird erst im Nachhinein entdeckt. Zudem wird eine IP permanent gebannt, obwohl wir doch in einer Welt leben, in der sich die IP-Adressen von Privatrechnern bei jeder Einwahl ändern. So werden die Bann-Listen immer länger, veralten aber sofort.
Ich habe in der Vergangenheit immer wieder erkennen müssen, dass sich User auf Werkzeuge versteifen, nur weil es sie gibt. Dann wird viel über diese Tools gepostet und der Suchende gelangt über google und Co. zu genau diesen.
Ich fragte mich: Was ist denn mit PAM, das wird doch eh schon von der Standardconfig des sshd benutzt? Dann bin ich auf viele total abgefahrene Config-Beispiele für PAM_tally gestoßen, wo der SSH-Benutzername nach soundsovielen fehlerhaften Loginversuchen gesperrt wird und vom Admin wieder freigeschaltet werden muss. Wenn man nun ein sich selbst wartendes System haben möchte (ihr wisst, was ich meine), wird folgendes Angeboten: Per Cronjob alle paar Stunden ein Reset der Sperren durchführen.
Das ist doch kacke. (Kacke adjektivisch - geht das?
)Da hab ich mir die Doku zu PAM_tally angeschaut - und siehe da, da gibts eine total einfache Einstellung, die mit einer Zeile in /etc/pam.d/sshd erledigt ist - keine Cron-Jobs, kein garnix:
auth required pam_tally.so lock_time=30
(In der Standard-Config stand noch keine Zeile mit pam_tally.so drin; die 30 ist von mir und heißt 30 Sekunden)
(Nach der Änderung muss sshd neugestartet werden.)
Nach jedem falschen Passwort wird der Benutzername für 30 Sekunden gesperrt. Das bekommt der Angreifer aber nicht mit, da es genauso reagiert, als hätte man einen falschen Benutzernamen oder Passwort eingegeben.
Noch viel besser ist, dass die Sperre nicht ab dem 1. fehlerhaften Login gilt, sondern still nach jedem weiteren falschen Passwort wieder von 0 hochzählt. Der Angreifer schiebt also seine 30 Strafsekunden unendlich vor sich her - deshalb reichen sie meiner Meinung nach völlig aus. (Wenn das nicht so wäre, hätte der erste Loginversuch nach den 30 Sekunden eine geringe Chance, aber immerhin...)
Und ein normaler Benutzer, der sich beim Passwort vertippt, braucht bloß diszipliniert 30 Sekunden warten. (Das sollte man ihm natürlich sagen...sonst rastet er aus.)
Gegen einen Bot reichen wohl auch 10 Sekunden, aber falls einer alle meine Kennwörter weiß und sie von Hand durchprobiert, ist 30 wohl gut.
Ich schreibe das, weil ich glücklich bin, so eine einfache Lösung gefunden zu haben, und ich sie mitteilen möchte.
Aber, da ich kein Profi bin, möchte ich auch wissen: Habe ich einen Denkfehler gemacht? Gibt es einen anderen Aspekt, an den ich nicht gedacht habe?
Edit: Mir ist grade eingefallen: Ohne IP-Bann kann jemand das Einloggen eines bestimmten Users verhindern, in dem er extra falsche Loginversuche macht.
Edit: Hab grade gemerkt, dass sich die Sperrzeit auch dann verlängert, wenn innerhalb der Sperrfrist das richtige Passwort eingegeben wird.
.
