[uplug] OpenSSH - Brute force scans

Andre Kloth kloth at rz.uni-potsdam.de
So Feb 18 12:00:37 CET 2007


Hallo *,

wer von euch einen Server mit oeffentlichem SSH-Zugang betreibt, kennt das 
Problem -- staendig gibt es Versuche von irgendwelchen Menschen, sich 
einzuloggen. Das sieht dann in /var/log/messages bei mir wie folgt aus:

#################### schnipp ####################
  Feb 18 08:08:18 hostname sshd[20847]: Failed password for invalid user
  melody from 125.240.247.3 port 55629 ssh2
  Feb 18 08:08:20 hostname sshd[20849]: Invalid user melody from
  125.240.247.3
  Feb 18 08:08:20 hostname sshd[20849]: Failed password for invalid user
  mp3 from 125.240.247.3 port 55662 ssh2
  Feb 18 08:08:21 hostname sshd[20851]: Invalid user mp3 from 
  125.240.247.3
#################### schnapp ####################

Jetzt kursieren im Netz haufenweise komische iptables-Skripte, die 
die "Login-Versuche" zu minimieren versuchen. Leider sind diese Skripte 
ziemlich umstaendlich und meiner Meinung nach Fehleranfaellig:

Die genannten Skripte arbeiten dabei meist so, dass sie 

  * entweder bei einem bestimmten Mass X an TCP-SYN-Anfragen innerhalb einer
    gegebenen Zeit Y die anfragenden IP fuer eine Zeit Z sperren (daemlich,
    da hier keine Aussage ueber Erfolg oder Misserfolg der
    SSH-Authentifizierung gemacht wird und ich mich selbst mit
    Public-Key-Authentifizierung nur X Mal innerhalb von Y Minuten einloggen
    kann) 

  * oder die entsprechende Log-Datei auf vergebliche Login-Versuche hin
    untersucht wird (Fehleranfaellig, da ich nicht unbedingt alle
    SSH-Fehlermeldungen beruecksichtigen kann und ausserdem feingranularer
    vorgehen moechte -- z.B.: wenn der Benutzer tatsaechlich existiert,
    soll er 5 Versuche bekommen, wenn er jedoch nicht existiert nur 3 o.
    ae. ...

Ich habe unter [1] einen SSH-Patch gefunden, der genau die von mir 
gewuenschte Funktionalitaet in OpenSSH integriert. Leider ist der Link tot 
und der Autor antwortet nicht auf meine Anfragen.

Deshalb hier die Frage: Gibt es intelligente Filter / 
Login-Rate-Limit-Erweitungerungen die auf SSH-Protokoll-Ebene arbeiten und 
sich guenstigerweise in OpenSSH einbinden lassen?


Viele Gruesse,
Andre'

[1] http://archives.neohapsis.com/archives/freebsd/2006-08/0053.html
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.astaup.de/pipermail/uplug/attachments/20070218/1bef3257/attachment.sig>


Mehr Informationen über die Mailingliste upLUG