Forum
Tipps
News
Frage stellen
search
Menu-Icon
search

allgemein: Chinesen versuchen ssh login

Hallöchen liebe Gemeinde ...

ich habe archlinux (spielt ja eher keine Rolle) und nen sshd am laufen ... um meinen Rechner zu überwachen hab ich auf dem Desktop noch conky am laufen, welcher mitunter die eingehenden und ausgehenden Verbindungen anzeigt. Heute ist mir aufgefallen, daß da jemand versuchte per ssh zuzugreifen. Ich hab also schnell mal meine /var/log/auth.log gecheckt und siehe da ... da haben doch schon ettliche IPs versucht, bei mir per ssh reinzusteigen ... allerdings bislang scheinbar ohne Erfolg (hab das logfile noch nicht ganz gesichtet, ist ziemlich lang)

bisher schaut's so aus:
die IPs, von denen das ausging:

Zitat
202.91.235.20 (Hangzhou, China)
218.56.61.114 (Qingdao, China)
61.129.60.23 (Shanghai)
211.141.110.200 (Nangchan, China)
122.155.1.174 (Chonburi, Thailand)
61.129.60.23 (Shanghai)
222.161.50.182 (Jilin, China)
193.34.91.162 (Belgien)
67.205.107.141 (Montreal)
200.111.157.187 (Santiago, Argentinien)
220.225.12.171 (Kolkata, Kalkutta)
194.246.101.176 (Tabuteau, Frankreich)
59.39.71.196 (Shanhai)

die versuchten logins, welcher fehlschlugen. root war übrigens auch des öfteren dabei.

Zitat
YwynBnrJ5rl9e, adam, admin, administrator, alan, alex, allan, apiotro, aron, backup, bad, bbrunk, blah, brett, bt, captaing, chang, chen, chris, chriss, colleen, cvs, cvsuser, danny, dasusr, dasusr1, dcweb, dejane, dennison, doeacc, doeacc1, doeacc2, edu, eric, eva, favs, fax, ftpuser, gov, guest, hanmaum, hanulis, hein, help, hipcomix, hsiao, hsqldb, icomes, info, ishida, jesica, jessica, jpeger, kuratowski, l2001, library, linux, lsmith, ltran, maciej, madoka, mambo, master, matt, mergeboy, mike, mil, monica, myscoop, mytcom, mythtv, mzarza, nabanita, nicole, nnguyen, olincan, oracle, paul, pegasus, pete, peter, phil, philip, photos, postgres, publicrr, ram, reception, refuge, roland, rootLOIEHE1Afm6RV, router, rusticos, sam, sammy, samuel, sarah, sarie, sharon, shell, sirius, sniper, stas, student, student2, tachibana, test, toor, trukulo, turbo, unix, user, user1, username, vampi, web, web29_alek, web30, webadm, webadmin, webmaster, wu, www, wynand, yosemite, zF314lalk4MBd, zap, zimmerman, zmodem, zxin, zxin10

Hat jemand auch schon diese Erfahrungen gemacht? Mein Passwort ist eigentlich recht sicher, allerdings habe ich auf meiner Maschine bisher 5 gültige User, d.h. die Chance, daß die mal einen richtig erraten ist natürlich höher. Kann ich bestimmte User aus meinem ssh rausnehmen, also daß die nicht per login verfügbar sind? Evtl. durch eine Gruppe? Könnte ich im idealfall auch noch root "ausperren" ... über meinen Account komm ich ja später per "su" in ein root terminal.

Gruß Maddin
Moderator informieren  

Antworten zu allgemein: Chinesen versuchen ssh login:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo,

Angriffe auf ssh sind nicht nur lästig und füttern die Logdateien, sondern kosten auch noch Bandbreite. Aber dagegen kann man was unternehmen.

Öffne mit einem Editor deiner Wahl und Rootrechten die Datei /etc/ssh/sshd_config

Hier solltest Du unbedingt Root verbieten sich per ssh einzuloggen zu können.

Ändere den Parameter PermitRootLogin von yes auf no

Kein Benutzer braucht ewig, um sich einzuloggen, also um Benutzername und Passwort einzugeben. Jeder gestartete sshd-Task braucht aber Speicher und Rechenzeit. Also gibt man mit

LoginGraceTime 60

eine Minute Timeout vor. Hat sich 60 Sekunden nach Verbindungsstart noch niemand korrekt eingeloggt, wird der Task beendet. Natürlich ist hier auch ein noch kürzerer Wert möglich. Aber berücksichtige immer, daß dein Server auch einmal überlastet oder das Intenet gerade langsam sein kann und die Kommunikation mit dem sshd deshalb verzögert wird. Da kann es äußerst lästig werden, wenn der Timeout zu schnell zuschlägt.

Das ursprüngliche SSH-Protokoll Version 1 ist veraltet und hat einige bekannte Sicherheitsmängel. Deswegen solltest du  nur Protokoll-Version 2 zulassen. Die Zeile

Protocol 2

sorgt dafür.

Um zu verhindern, daß durch einen Hackversuch hunderte sshd-Tasks gleichzeitig gestartet und der Rechner dadurch evtl. in die Knie gezwungen wird, gibt es einen sehr nützlichen Parameter. Fügen dazu die Zeile

MaxStartups 3:30:10

in das Configfile ein.

Diese Beschränkung ist äußerst effektiv, aber etwas kompliziert zu verstehen: Die Werte im Beispiel bedeuten, daß 2 (= 1. Wert minus 1) "unauthenticated" (also im Login-Stadium befindliche) sshd-Verbindungen immer erlaubt sind. Ab der 3. (= 1. Wert) Verbindung wird mit einer Wahrscheinlichkeit von 30% (2. Wert) die Verbindung abgelehnt. Diese Wahrscheinlichkeit steigt linear an, bis bei 10 (3. Wert) offenen Verbindungen jeder weitere Verbindungsversuch zu 100% abgelehnt wird.

Die meisten Angriffe laufen auf den SSH Standardport 22. Verbiege ihn einfach auf einen anderen z.B. Port 26 mit der Zeile

Port=26

Beachte aber dass nun beim Verbindungsaufbau per ssh der Port mit angegeben werden muss. Beispiel:

ssh -p26 benutzername@servername

Verbiete auch in der Firewallkonfiguration unbedingt Portscans, sonst bringt die Änderung des Ports nichts.

Lange nicht alle Benutzer eines Systems müssen sich per SSH anmelden können. Der Parameter AllowUsers definiert, welche Nutzer erlaubt sind. Alle nicht genannten bleiben ausgesperrt. Beispiel:

AllowUsers klaus martin hans marion

Bleibt noch den sshdienst nach den Änderungen neu zu starten damit sie auch wirksam werden können. ( /etc/init.d/sshd restart bzw. rcsshd restart bei Suse )

Denke das reicht fürs Erste.

Have Fun

Moderator informieren  

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

vielen Dank für diese ausführliche Antwort ... ich hab zwar jetzt schon woanders ein klein wenig etwas dazu gelesen, allerdings noch nicht so ausführlich die Beschreibung der config ... Danke! Das erspart mir viel Arbeit!

Gruß Maddin

Moderator informieren  

Seiten: [1]
« NSLU2 - grundlegende FragenSuse: Festplatte...Cache »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

kruemeltee (449) ****

Datum: 21.08.09, 13:40:45

2116x gelesen, 2 Antworten.

Seiten: [1]

0 und 1 Gast betrachten dieses Thema.
Fremdwörter? Erklärungen im Lexikon!
Multiprozessor Rechner
Multiprozessorsysteme oder Multiprozessor-Rechner sind Computer, die mehr als einen Hauptprozessor (CPU) zur Ausführung von Aufgaben verwenden. Sie ermöglichen ...

Desktop
Als Desktop bezeichnet man die Arbeitsoberfläche eines Computers. Der Desktop ist nichts anderes als eine grafische Benutzeroberfläche (Graphical User Interface...

MIPS
MIPS ist die Abkürzung für "Million Instructions Per Second", eine Maßeinheit zur Bewertung der Rechenleistung eines Mikroprozessors. Diese Maßeinhe...


Mehr zu allgemein: Chinesen versuchen ssh login

Ja Ja die Chinesen

Das muß man sich erst mal einfallen lassen...http://www.you...

Chinesen, Japaner, Koreaner , ...

Ich kenne einige Koreaner (innen  xD), aber ich weiss n...

SicherheitsschlossSonstiges: was ist bloß mit den chinesen los?

wollen die großen global-player sein und verhalten sich wie die alten ddr-kader.http://www.spiegel....


Ähnliche Fragen: