Hi alle Linux Freunde,

ich würde euch gerne um Eure Erfahrungen bitten zum Thema Sicherheit beim Betrieb eines eigenen Root Servers.

Vorallem interessiert mich, was habt ihr gemacht nachdem ihr Ziel eines Angriffs geworden seid?

Mein Server wurde zum Beispiel kürzlich Ziele einer Brute Force Attacke auf dem sshd Port. Ich musste den ssh abschalten. Was kann ich tun um solchen Personen das handwerk zu legen? Habt ihr selber schon einmal etwas in die Richtung unternommen?

Ausserdem, was für "nicht standard" Tipps kennt ihr um Attacken zu verhindern? Ich denke da, an soetwas wie der Bericht auf Heise Security mit SYN_Cookies aktivieren...

Bitte berichtet nur aus eigener Erfarhung, nicht was ihr in gelesen habt!

Ich freu mich auf eure Einsichten/Hilfen

Chani

Mal ne kleine Frage was verstehst du denn unter "Brute Force Attacke auf dem sshd Port" ? Eventuell auch einfach den sshd Port umlegen... (auch wenn du keine standard Tipps wolltest :D )

Kommen die IP-Adressen vielleicht aus den Bereichen 222.*.*.*/221.*.*.* ?

Jemand im Gentoo-Forum hatte massenhaft Einlogversuche mit test/test. Da hat er den Benutzer einfach angelegt und die ungewünschten Gäste mit ein paar Dateien, die sehr geheim aussahen, in einer Chroot-Umgebung verarscht ;D

Ich betreibe einen Server und meine Empfehlungen sind:

- einen anderen Port als 22 zu nehmen.
- root-logins verbieten
- icmp-requests droppen
- eine jail für deine StandardBenutzer einrichten
- Bei der Wahl der Passwörter auf Gross/Kleinschreibung achten und
sowohl Zahlen als auch Sonderzeichen verwenden.
- Ein script verwenden, daß den deamon abdreht sobald mehr als
zehn login versuche gleichzeitig ausgeführt werden.

Das sollte mal für den Anfang reichen.
Viel Glück, beim Sichern deines Rechners

- icmp-requests droppen
böse™

Ansonsten aber gute Tipps.

Eine Brute Force Attacke sieht im Log etwa so aus:

Feb 6 21:03:46 * sshd[21320]: Illegal user astin from ::ffff:195.70.16.195
Feb 6 21:03:46 * sshd[21320]: input_userauth_request: illegal user astin
Feb 6 21:03:46 * sshd[21320]: Failed password for illegal user astin from ::ffff:195.70.16.195 port 58568 ssh2
Feb 6 21:03:46 * sshd[21320]: Received disconnect from ::ffff:195.70.16.195: 11: Bye Bye
Feb 6 21:03:46 * sshd[21321]: Illegal user astra from ::ffff:195.70.16.195
Feb 6 21:03:46 * sshd[21321]: input_userauth_request: illegal user astra
Feb 6 21:03:46 * sshd[21321]: Failed password for illegal user astra from ::ffff:195.70.16.195 port 58982 ssh2
Feb 6 21:03:46 * sshd[21321]: Received disconnect from ::ffff:195.70.16.195: 11: Bye Bye

@Cyrus

Kannst du mir beschreiben wie ein solchens Script aussieht?
root login verbieten ist klar, aber soll man besser auch su root verbieten?

Thx
Chani

keine standardports verwenden (wurde eh schon gesagt)
"brute force sshd attacke" würd ich das nicht nennen - das sind eben solche scanner die nach ips mit offenem port 22tcp suchen und mit 5-6 standard logins logins versuchen (super satz X-D)
speziell bei sshd, wieviele leute müssen sich per ssh da einloggen? sinds nur 1-2 leute?
dann lass auch NUR DIESE user sich per ssh einloggen und die solln zum administrieren dann su'en.

welche services sind sonst noch erreichbar?

icmp requests dropen? was soll das bringen? genau nichts :)
besser icmp request auf 1 pro sekunde limitieren und incoming icmp requests mit mehr als 85bytes länge dropen.
eventuell auch einkommende "new/invalid" tcp pakete mit "-j REJECT --reject-with tcp-reset" rejecten
und bei udp mit "-j REJECT --reject-with icmp-port-unreachable"

@dsfdsfgdfg
icmp requests abdrehen, hat den Grund, daß meistens zuerst versucht wird,
den Server zu pingen - wenn das allerdings fehlschlägt, wird nicht einmal
versucht den Server zu hacken. Die Angriffe auf meinen Server, gingen allein dadurch von ca. 300 zurück auf ca. 10. ( lag aber wahrscheinlich auch daran, daß ich eine .com-domain verwendet habe )

@chani666
Ganz einfach, du parst dass sshdlogfile durch.
In der sshd.conf kannst du einen command ausführen lassen,
sobald sich jemand einzuloggen versucht hat.
Wenn du willst kann ich dir morgen ein test-file schicken, bin aber momentan
leider nicht zu hause.

su root - solltest du verbieten, kannst sie aber bei deinem login dabeilassen,
um wartungsarbeiten durchführen zu können.

Um auf Nummer Sicher zu gehen solltest du sowieso FreeBSD nehmen,
da die in den letzten 5 Jahren nur 3 Sicherheitslöcher hatten.
( möchte nicht wissen wieviel Löcher mein gentoo hat :D )

@ulukay

Das ganze ging nicht nur ein paar mal, sondern 6h bis ichs bemerkt hab...

@cyrus

des mit dem testfile wäre echt super...


@ Alle

was denkt ihr über rechtliche Schritte? Ich meine nicht bei sowas wie ne billigen sshd attacke... aber bei wirklicher beeinträchtigung des Servers bzw. sogar bei schädigung... Wie geht man wohl vor? Selber versuchen die Person zuermitteln... Polizei? Anzeige... Welche Chance hat man da? Wenn ich die Polzei sagen wir mal anrufen sollte... haben die überhaupt ne Ahnung davon?
Ich meine die sind ja schon überfordert den Typ ausfündig zu machen der mein Auto zerkratz hat...

btw... thx for die interessanten Tips...

jo und?
ich hatte in 5 monaten 9700 login versuche X-D

aber wenn sich nur ein bestimmter User einloggen darf und der sshd aktuell ist haben sie sowieso keine canche, habs dann aber trotzdem auf ein anderes port gelegt, es könnte ja mal ein zero day exploit kommen

icmp requests abdrehen, hat den Grund, daß meistens zuerst versucht wird, den Server zu pingen
Das ist mir bewußt, allerdings wird das ICMP Protokoll auch für eine Reihe anderer Dinge benutzt. Der Umstand, daß ein Werkzeug unter anderem auch mißbraucht werden kann, ist keine Rechtfertigung dieses nun zu verbieten. Das gilt auch für Protokolle.

Als empfehlenswerte Grundlage dient meines erachtens das Debian Sicherheit HowTo. Darin findet sich entliche praktische Empfehlungen und Leitfäden.

http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html

jo und?
ich hatte in 5 monaten 9700 login versuche X-D

aber wenn sich nur ein bestimmter User einloggen darf und der sshd aktuell ist haben sie sowieso keine canche, habs dann aber trotzdem auf ein anderes port gelegt, es könnte ja mal ein zero day exploit kommen
Tja, in diesen Fall würde ich zur "HostbasedAuthentification" und "AuthorizedKeysFile" greifen. Dass verhindert auf jeden Fall einen Brute-Force Angriff, nützt aber Null, wenn man ssh nicht auf einen aktuellen Patchstand hält.