Date: Fri, 9 Jun 2006 23:38:25 +0200 (CEST) From: Claus Guttesen <none@cguttesen--yahoo.dk.lh.bsd-dk.dk> Subject: SV: mislykket ssh-indloging To: bsd-dk@bsd-dk.dk
> > Gik gennem hele loggen (igen), dato-stemplingen er
> > korrekt, men det er sket sidste år på denne tid.
> Så
> > der har været et forsøg på at finde svagheder i
> sshd,
> > men ikke for et par dage siden.
>
> hm. loggrotering kan være en uhyre god ting.
Dette sker med default-værdier, disse er sat til size
100 i /etc/newsyslog.conf, der er tre bruger som har
adgang på denne (og andre tilsvarende) webservere (med
mindre der er et hul i sshd ;-) ), så det er ikke så
tit, at der ruller nye linier ind i denne logfil.
> I tillegg kan (som andre har nevnt) gjerne
> "antispoof for $interface"
> på egnet sted i pf.conf være verd å vurdere.
Ja, jeg har set på det, men denne omtalte webserver
har en officiel ip-adresse, og de eneste steder hvor
jeg tillader sshd, er fra et segment med 6 adresser
(ydersiden af brandvæggen), samt 18 adresser fra
kendte adresser, samt fra vores interne netværk.
Så antispoofing vil idag ikke hjælpe, da ssh (og det
formodet forsøg) som sagt kun er åben fra meget få
officielle adresser til webserverne.
Det jeg har set på er din udemærkede howto på hvordan
man kan begrænse antal forsøg på tcp-etableringer, med
et mere uddybende eksempel på ssh.
Det er en mere elegant løsning end den jeg har idag,
hvor jeg hjemmefra angiver en anden port end 22, når
jeg skal logge ind på arbejde. Her har jeg lavet en
rdr på det eksterne interface. Ja, jeg ved det er
security by obscurity, men når mange bots er skrevet
til netop port 22 (samt andre kendte porte), vil alene
det, begrænse antal forsøg på ulovlig indlogning.
Hilsen
Claus
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:25:00 CET