Possible Break-in Attempts
Martijn van de Streek
martijn op foodfight.org
Wo Okt 24 12:04:56 UTC 2007
On Wed, 24 Oct 2007, Rick Stijnman wrote:
> Een van mijn machines hangt direct aan het internet, SSH etc open.
> Echter als ik /var/log/auth.log bekijk zie ik o.a het volgende
>
> Wat kan ik hier aan doen, of moet ik het maar zo laten ?
> Lijkt er op dat iemand probeerd binnen te komen..
Er zijn bergen scanners actief.
Wat je kunt doen:
- Sta alleen logins via ssh met keys toe (dus niet met
username/password). Dit kan door "PasswordAuthentication no" in je
/etc/ssh/sshd_config te zetten, en sshd te herstarten (met
/etc/init.d/ssh restart)
Let op! Je moet al wel een key hebben, anders kom je er niet in!
Lees voor hulp iets als
http://www.sshkeychain.org/mirrors/SSH-with-Keys-HOWTO/ of
http://sp.wolffelaar.nl/docs/HOWTO/sshkey.html
Deze oplossing werkt tot ze je gegenereerde key raden. Als je een
4096- of 8192-bit RSA key hebt, duurt dat nog wel even.
- Verander de poort (kan ook in /etc/ssh/sshd_config)
Dit werkt tot scanners je nieuwe poort ontdekken
- Sta alleen ssh toe vanaf "vertrouwde" hosts, via /etc/hosts.allow en
/etc/hosts.deny. Dit doe je door in /etc/hosts.deny neer te zetten:
sshd: ALL
en in hosts.allow voor elke host/ip/netwerk die toegang moet hebben:
sshd: hostname.hier.nl
sshd: 12.34.56.78
Maar dat is lastig met dynamische IP's
Martijn
--
Sorry isn't an excuse when you do something stupid on purpose.
------------- volgend deel ------------
Een niet-tekst bijlage is gescrubt...
Naam: signature.asc
Type: application/pgp-signature
Grootte: 827 bytes
Omschrijving: Digital signature
URL : <https://lists.ubuntu.com/archives/ubuntu-nl/attachments/20071024/7e73e491/attachment.sig>
Meer informatie over de Ubuntu-NL
maillijst