Hallo liebe Listenteilnehmer,
Ich möchte mich bei allen bedanken die mir entweder auf einer der
beiden Listen oder aber per PM Vorschläge unterbreitet haben, wie ich
zumindest das konkrete Rechnerproblematik verbessern kann.
Da ich die Anfrage ja schamlos auf zwei Listen gepostet habe wollte
ich die Vorschläge und Infos hier kurz zusammenfassen, da mit alle
die es ebenfalls interessiert vielleicht etwas davon haben.
a) Mehrfach vorgeschlagen wurde root-Logins per ssh zu verbieten und
die Nutzer einzugrenzen
Dazu Modifikation von /etc/ssh/sshd_config:
AllowGroups gruppe1 gruppe2 ...
AllowUsers user1 user2 ...
PermitRootLogin no
Das hat schon mal wunderbar geklappt (eintragen, sshd neustart, NICHT
von Remote!). Der SSH-Client fragt jetzt zwar noch nach einem Passwort
für einen nicht in dieser Liste eingetragenen User, bricht dann aber
ab (was eigentlich gar nicht schlecht ist. So hat der Angreifer
weniger die Möglichkeit sich zielgerichet auf einen "gefundenen" User
bei der Passwortsuche "einzuschiessen")
b) SSH-Port nicht auf dem Standardport lassen
Dieser Vorschlag vermindert sicher einen Teil der Angriffe. Allerdings
muss ich feststellen das die Ports inzwischen auch im hohen Bereich
abgesucht werden.
c) Port-Knocking
http://www.portknocking.org z.b. http://doorman.sourceforge.net. Das
habe ich selbst noch nicht probiert, habe aber einen Artikel dazu in
der c't gelesen. Für mich ein sehr guter Ansatz und wird
wahrscheinlilch noch verwirklicht. Problem ist aber der Urlaub, wo ich
schon froh bin in einem Internetcafe überhaupt SSH-Zugang zu bekommen
(meist darf man ja nicht mit dem eigenen Rechner ran)
d) Zugang über VPN an Uniserver und dann von dort aus SSH
Bei VPN ist das Problem wieder der Urlaub...
e) SSH-Zugriff über IP-Tables nur von vertrauten Subnetzen zulassen.
evtl. in Kombi mit dem von mir ja schon angesprochenen Zugriffsverbot
nach 43-4 Versuchen für 1 Stunde
Für mich in Kombination mit einem Zugriff über SSH auf Uniserver und
damit indirekt eine Möglichkeit die auch urlaubsfähig wäre.
f) Meine Frage nach Verschlüselung
Der Geschwindigkeitsverlust von 15-20% wurde bestätigt. Für mein
Problem aber wohl keine gute Idee, da der Angreifer wenn ja bereits
Zugriff hat (home muss frei sein für User nach Passwort). Die
Sicherheit des Backups wurde zudem für problematisch erachtet.
Öfter gefragt wurde ich nach der Art der Angriffe. Bisher scheinen sie
nicht zielgerichtet, da bis auf "root" keiner der vergebenen
Nutzernamen verwendet worden zu sein scheint. Moment sind es also
offenbar noch recht einfache Skripte die mehr oder minder
automatisiert auf ein paar Rechnern laufen. Allerding sind die meisten
davin offenbar nicht von Dial-up-Rechnern sondern von gehackten
Servern ausgehend. Eben dies machte mir Sorgen, weil die im Prinzip
beliebig lange Zeit haben, sich meinem Rechner zu "widmen" (ein
Rechner hat es z.B. mit über 2500 Versuchen probiert).
Kurzum im Moment ist das Risiko durch diese automatischen Tools
wahrscheinlich recht gering, aber ich doch froh darüber mir unter
diesen Umständen gedanken darüber gemacht zu haben, bevor jemand mit
clevereren Ideen und gezielter Versuche startet (letztlich bin ich
ebebn nur "Nebenerwerbs"-Admin (wie wohl die meisten an de Uni).
Nochmal ganz, ganz herzlichen Dank an alle die geantwortet haben und
alle die sich zumindest Gedanken gemacht haben.
Liebe Grüsse
Stephan
--
Stephan Gromer, MD. PhD.
Work: Biochemie-Zentrum Heidelberg / Im Neuenheimer Feld 504 / D-69120
Heidelberg / Tel.: +49 (6221) 544291 / Fax.: +49 (6221) 545586
Home: Sternallee 89 / D-68723 Schwetzingen / Tel.: +49 (6202) 855038
Mobil: +49 (172) 7694555 / URL: http://www.gromer-online.de
Received on Tue Jul 5 23:30:45 2005