ssh Teergrube

[Roland Wolters]

Once upon a time Alexander Dalloz wrote:
> Am So, den 21.11.2004 schrieb Roland Wolters um 16:55:
> > Ich möchte bei einem Rechner mit fester IP den ssh etwas absichern -
> > nachdem ich Standardeinstellungen gemacht habe, wie
> >
> > PermitRootLogin no
> > AllowUsers soundso
> > PasswordAuthentication yes
>
> Besser wäre auf jeden Fall, ausschließlich pubkey auth zuzulassen. Damit
> hättest du das Passwortproblem schon mal sehr treffgenau und simpel
> umgangen.

Aus verschiedenen Gründen soll auch weiterhin der Login mit Passwort möglich 
sein, was aber auch kein Problem darstellen sollte, solange die Passwörter 
sicher genug sind.

> > PermitEmptyPasswords yes
>
> Leere Passwörter sollen erlaubt sein?! Halte ich für ziemlich "ungut"
> und wird sicher nur übertroffen von den Usern, die diese Möglichkeit
> dann auch gleich mit ihrem SSH Zugang nutzen.

Ups, sorry, mein Fehler. Danke für den Hinweis.

> > fehlt mir jetzt noch die Möglichkeit, dem ssh eine Art Teergrube
> > mitzugeben, damit möchtegern-Scriptkiddies darin hängen bleiben, die
> > sonst ihre hunderte Login-Versuche gegen den Rechner fahren.
>
> 1. billige Maßnahme: den SSHD auf einen anderen nicht-Standard Port
> laufen lassen. Die allermeisten Postscans grasen nicht alle 65535 Ports
> ab.

Geht leider nicht, weil eine Firewall, auf die ich keinen Zugriff habe, zum 
Internet hin alles andere außer Port 22 abblockt.

> > Hat da mal jemand eine Idee zu? Ich habe leider nichts an Bordmitteln in
> > der man gefunden, mit der man z.B. den Login um einige Sekunden mehr pro
> > Login Versuch verzögern kann, das würde schon reichen.
>
> Ein Boardmittel wäre PAM und pam_tally. Das ist natürlich keine
> "Teergrube". Schiebt unbeschränkten Versuchen einen Riegel vor.
> Ansonsten ein eigenes PAM Modul schreiben? Per google fand ich nur noch
>
> http://labrea.sourceforge.net/labrea-info.html

Vielen Dank für die Tips, werde das mal durchgehen.

Roland