2008. október 26., vasárnap

SSH próbálkozások ellen: fail2ban

Nagyon hatásos védekezést ad az SSH jelszó próbálgatásos támadások ellen. Folyamatosan olvassa az auth.log-ot és a megadott próbálkozások után
iptables szabállyal kitiltja a próbálozó IPt. Debian csomag is létezik belőle, még sarge-ra is a van csomag a backports.org-on.

SSH démon védelme
Manapság az interneten robotok kutatnak a gyenge jelszavas felhasználók shelljei után. Meglehetősen kellemetlen dolog mikor látjuk a
logjainkban a sikertelen belépési kísérleteket, mikor próbálgatják kitalálni a felhasználóink a jelszavát, usernevét. Természetesen tudunk
védekezni a probléma ellen. Két fejta egyszerű megoldás is van:
1. Beállíthatunk egy speciálisan erre fejlesztett ssh démon konfigurációs paramétert: MaxStartups
/etc/ssh/sshd_config konfigurációs állomány végén. További információt kahatunk a manuálokból. man sshd_config
2. iptables tűzfal szabályokat is létrehozhatunk a problémára.
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
Például ez a két sor kizárja 1 percen belül a 4. próbálkozástól a következőket a 22 porton.
Sok már kevésbé egyszerű és szerintem veszélyesebb megoldás is van. Van aki kizár minden próbálkozást végleg a támadó tartományából... ezeket a
megoldásokat én nem ismertetem. Feleslegesnek túlzásnak tartom őket. De azért felsorolnék párat közülük: Swatch egy ügyes tool hasonló
problémák kezelésére. Ssh login blokker és egy újabb.

SSH kulcsok használata
Ha egy távoli gépre például jelszó nélkül akarsz bejutni ssh-val, akkor használhatsz ssh kulcsokat.
Ennek a beállítása mindössze pár utasítás:
1. Generálj egy SSH kulcsot magadnak ehhez a művelethez.
ssh-keygen -t dsa
Ne adj meg jelszót amikor jelszavas védelmet akar tenni a kulcsra.
2. Másold át a publikus kulcsát a frissen generált kulcspárodnak(publikus és privát).
scp ~/.ssh/id_dsa.pub masikgep.teljes.neve:.ssh/authorized_keys2
Ezután már próbálhasz is átlépnizni jelszó nélkül.
ssh masikgep.teljes.neve
A kulcs átmásolására van progi, ami biztosan jól megoldja:
ssh-copy-id -i ~/.ssh/id_dsa.pub [user_neved_a_tavoli_gepen]@[tavoli_gep_ipje_vagy_neve]
Néha gond van a jogosultságokkal, erre kell figyelni:
- ssh könyvtár 700
- A távoli gépen a home könyvtárad: 755

Nincsenek megjegyzések: