ssh Teergrube

Alexander Dalloz ad+lists at uni-x.org
Sun Nov 21 17:13:49 UTC 2004 

Am So, den 21.11.2004 schrieb Roland Wolters um 16:55:

> Ich möchte bei einem Rechner mit fester IP den ssh etwas absichern - nachdem 
> ich Standardeinstellungen gemacht habe, wie
> 
> PermitRootLogin no
> AllowUsers soundso
> PasswordAuthentication yes

Besser wäre auf jeden Fall, ausschließlich pubkey auth zuzulassen. Damit
hättest du das Passwortproblem schon mal sehr treffgenau und simpel
umgangen.

> PermitEmptyPasswords yes

Leere Passwörter sollen erlaubt sein?! Halte ich für ziemlich "ungut"
und wird sicher nur übertroffen von den Usern, die diese Möglichkeit
dann auch gleich mit ihrem SSH Zugang nutzen.

> fehlt mir jetzt noch die Möglichkeit, dem ssh eine Art Teergrube mitzugeben, 
> damit möchtegern-Scriptkiddies darin hängen bleiben, die sonst ihre hunderte 
> Login-Versuche gegen den Rechner fahren.

1. billige Maßnahme: den SSHD auf einen anderen nicht-Standard Port
laufen lassen. Die allermeisten Postscans grasen nicht alle 65535 Ports
ab.

> Hat da mal jemand eine Idee zu? Ich habe leider nichts an Bordmitteln in der 
> man gefunden, mit der man z.B. den Login um einige Sekunden mehr pro Login 
> Versuch verzögern kann, das würde schon reichen.

Ein Boardmittel wäre PAM und pam_tally. Das ist natürlich keine
"Teergrube". Schiebt unbeschränkten Versuchen einen Riegel vor.
Ansonsten ein eigenes PAM Modul schreiben? Per google fand ich nur noch

http://labrea.sourceforge.net/labrea-info.html

recht vielversprechend.

> Roland

Alexander


-- 
Alexander Dalloz | Enger, Germany | new address - new key: 0xB366A773
legal statement: http://www.uni-x.org/legal.html
Fedora GNU/Linux Core 2 (Tettnang) on Athlon kernel 2.6.9-1.6_FC2smp 
Serendipity 18:06:24 up 1 day, 12:53, load average: 0.12, 0.20, 0.11 
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: Dies ist ein digital signierter Nachrichtenteil
Url : http://lists.fedoraproject.org/pipermail/de-users/attachments/20041121/1069a342/attachment.bin

More information about the de-users mailing list