Date: Fri, 19 Aug 2005 22:18:09 +0200 From: Flemming Jacobsen <none@fj--batmule.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: hindre sshd login forsøg -> DenyHosts
Dan K. Kyhl wrote:
> har tidligere set en del mails om at hindre login forsøg til sshd.
>
> Faldt lige over dette tool som måske kan bruges.
> http://www.unixreview.com/documents/s=9846/ur0508g/ur0508g.html
Folk skal finde ud af hvad de vil.
1. Hvis man er træt af at automatiserede scans prober ens sshd, og
derved genererer logs der gør det svært at gennemskue hvornår der
er tale om et reelt angreb, så flyt sshd's port.
Og hvorfor ikke bare gøre det? Det at en angriber ikke finder
porten i første forsøg gør at din IDS/IPS har meget bedre
muligheder for at gennemskue at der sker noget uregelmæssigt.
2. Hvis man er bange for at nogen gætter et password til en konto
så tillad kun logins med keys. Og sørg for at hverken root eller
andre role-accounts kan logge ind.
3. Hvis man er bange for at en fejl i sshd gør at en angriber
overtager maskinen så sørg for at sshd bruger privilege
separation, og sæt ydermere en firewall op så kun relevante IPer
kan nå sshd porten.
Alle de der reaktive tools er til pis.
Hvis du finder ud af at en IP i Sydamerika prøver at gætte
passwords, og du føler at det er et problem, så overvej hvorfor
du er bekymret over at dine passwords tilsyneladende kan gættes,
og hvorfor en IP fra Sydamerika, hvor du formentlig ikke kender et
øje, overhovedet kan nå sshd porten.
Og ja, ovenstående er skrevet udfra et generelt synspunkt,
hvilket betyder at der kan udtænkes scenarier hvor det ikke giver
mening.
Hyg'
Flemming
-- Flemming Jacobsen Email: fj@batmule.dk ---=== If speed kills, Windows users may live forever. ===---
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:51 CET