/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
SSH break-in attempt...
Fra : Rander


Dato : 19-04-05 15:49

Som så mange andre sikkert også har, så har jeg i min auth.log en masse af
disse linier:

Apr 19 15:58:30 debbie sshd[8385]: Address 69.60.122.108 maps to
108-122-60-69.serverpronto.com, but this does not map back to the address -
POSSIBLE BREAKIN ATTEMPT!
Apr 19 15:58:31 debbie sshd[8387]: Address 69.60.122.108 maps to
108-122-60-69.serverpronto.com, but this does not map back to the address -
POSSIBLE BREAKIN ATTEMPT!
Apr 19 15:58:33 debbie sshd[8391]: Address 69.60.122.108 maps to
108-122-60-69.serverpronto.com, but this does not map back to the address -
POSSIBLE BREAKIN ATTEMPT!

osv - han prøvede i omkring 25 minutter, indtil jeg satte et filter i
routeren på IP'en...

Men kan man ikke lave et eller andet smart med sshd, så hvis man f.eks.
giver forkert password to gange inden for fem minutter, så bliver ens IP
blokeret i 15 minutter eller noget i den stil?

Æsken kører Debian Sarge...

--
Lars Rander ** Pil ikke ved min adresse ** :(){ :&:& };:
http://rander.dk (temporarily down!)

Inflation vil sige, at en ting, som har kostet 50 kroner for nogle år siden,
nu koster 200 kroner at få repareret. (Povl Sabroe)


 
 
Jesper Krogh (19-04-2005)
Kommentar
Fra : Jesper Krogh


Dato : 19-04-05 16:02

I dk.edb.system.unix, skrev Rander:
> Æsken kører Debian Sarge...

Jeg har

AllowUsers *@*.dk *@<adminip>

i sshd_config

Så smider den folk af hvis de ikke kommer fra noget med reversedns .dk
eller fra den specifikke ipadresse. Den sidste redder dig den dag
maskinen ikke kan lave dns-lookup af en eller anden mærkelig grund.

Det er godtnok ikke det du efterspørger, men det er med til at lukke ssh
"yderligere ned".

Jesper

--
../Jesper Krogh, jesper@krogh.cc, Jabber ID: jesper@jabbernet.dk
.... der er blevet medlem af Free Software Foundation i denne uge:
https://www.fsf.org/associate/join/am_join_form1


Jørn Hundebøll (19-04-2005)
Kommentar
Fra : Jørn Hundebøll


Dato : 19-04-05 19:37

Jesper Krogh wrote:
>
> AllowUsers *@*.dk *@<adminip>

> Den sidste redder dig den dag
> maskinen ikke kan lave dns-lookup af en eller anden mærkelig grund.

Gad du forklare lidt mere hvad du mener med *@<adminip> kan redde mig ?
Jeg antager man skal skrive noget a la:

*@192.168.1.1

eller hva ?

Jørn

Jesper Krogh (19-04-2005)
Kommentar
Fra : Jesper Krogh


Dato : 19-04-05 19:39

I dk.edb.system.unix, skrev Jørn Hundebøll:
> Jesper Krogh wrote:
> >
> > AllowUsers *@*.dk *@<adminip>
>
> > Den sidste redder dig den dag
> > maskinen ikke kan lave dns-lookup af en eller anden mærkelig grund.
>
> Gad du forklare lidt mere hvad du mener med *@<adminip> kan redde mig ?
> Jeg antager man skal skrive noget a la:
>
> *@192.168.1.1
>
> eller hva ?

Lige præcist. Hvis det er en maskine du har nem fysisk adgang til, så er
det jo ligegyldigt.

Jesper

--
../Jesper Krogh, jesper@krogh.cc, Jabber ID: jesper@jabbernet.dk
.... der er blevet medlem af Free Software Foundation i denne uge:
https://www.fsf.org/associate/join/am_join_form1


Rander (19-04-2005)
Kommentar
Fra : Rander


Dato : 19-04-05 21:11

Tue, 19 Apr 2005 15:02:01 +0000 (UTC) brugte Jesper Krogh 23 linier på at
fortælle dette til dk.edb.system.unix:

>> Æsken kører Debian Sarge...
>Jeg har
>AllowUsers *@*.dk *@<adminip>
>i sshd_config

Ser egentlig fornuftig nok ud... Kan man "nøjes" med at skrive @192.168.1,
eller skal den have @192.168.1.0/24 hvis man skal have adgang fra hele
LAN'et?

Foreløbig har jeg "flyttet" sshd, så den ikke lytter på port 22, men kan
man gøre lidt ekstra uden at bruge flere timer på det skader det jo
aldrig...

--
Lars Rander ** Pil ikke ved min adresse ** :(){ :&:& };:
http://rander.dk (temporarily down!)

Der er en ting, jeg sætter pris på hos små børn. De går ikke
rundt og viser fotografier af deres forældre. (Tage Danielsson)


Michael Rasmussen (19-04-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 19-04-05 22:49

Rander <ldNOSPAM@rander.dk> wrote:

>osv - han prøvede i omkring 25 minutter, indtil jeg satte et filter i
>routeren på IP'en...

Tja, jeg har omkring 1000 af den slags forsøg i døgnet....

Mig generer det ikke - jeg bruger nemlig nøgler når jeg logger på, og al
brug af passwords er de-aktiveret....



<mlr>

--

The two basic principles of Windows system administration:

* For minor problems, reboot
* For major problems, reinstall

Alex Holst (19-04-2005)
Kommentar
Fra : Alex Holst


Dato : 19-04-05 23:39

Rander wrote:
> osv - han prøvede i omkring 25 minutter, indtil jeg satte et filter i
> routeren på IP'en...
>
> Men kan man ikke lave et eller andet smart med sshd, så hvis man f.eks.
> giver forkert password to gange inden for fem minutter, så bliver ens IP
> blokeret i 15 minutter eller noget i den stil?

Hvorfor overhovedet benytte adgangskoder? Skift til keys. Slå
PasswordAuthentication fra.

Jeg synes personligt at advarselen i sshd's reverse DNS check lugter af
1995. Vi er heldigvis kommet så langt i dag, at det for det meste er
ligegyldigt hvor forbindelserne kommer fra, bare de benytter
tilstrækkelig stærk validering. Nøgler er ét eksempel.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Rander (19-04-2005)
Kommentar
Fra : Rander


Dato : 19-04-05 23:45

Wed, 20 Apr 2005 00:38:31 +0200 brugte Alex Holst 21 linier på at fortælle
dette til dk.edb.system.unix:

>> Men kan man ikke lave et eller andet smart med sshd, så hvis man f.eks.
>> giver forkert password to gange inden for fem minutter, så bliver ens IP
>> blokeret i 15 minutter eller noget i den stil?
>Hvorfor overhovedet benytte adgangskoder? Skift til keys. Slå
>PasswordAuthentication fra.

Jeg må indrømme at jeg har overvejet det, men lurer så lidt på hvordan man
så får nøglen?

En af mine venner har også en konto på kassen. Hvis jeg siger at han skal
have nøglen for at logge ind, hvordan laver jeg så den nøgle - og hvor skal
han lægge den? Som det er nu får han jo bare stukket en nøgle ud hvis han
ikke har den i forvejen, og det vil jeg da godt give dig ret i virker lidt
åndssvagt...

--
Lars Rander ** Pil ikke ved min adresse ** :(){ :&:& };:
http://rander.dk (temporarily down!)

En fanatiker er en, der ikke kan skifte mening og ikke vil skifte emne. (Winston Churchill)


Alex Holst (20-04-2005)
Kommentar
Fra : Alex Holst


Dato : 20-04-05 08:52

Rander wrote:
> En af mine venner har også en konto på kassen. Hvis jeg siger at han skal
> have nøglen for at logge ind, hvordan laver jeg så den nøgle - og hvor skal
> han lægge den? Som det er nu får han jo bare stukket en nøgle ud hvis han
> ikke har den i forvejen, og det vil jeg da godt give dig ret i virker lidt
> åndssvagt...

Se lige om http://mongers.org/ssh ikke hjælper dig lidt på vej. Spørg
igen hvis du sidder fast.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Rander (20-04-2005)
Kommentar
Fra : Rander


Dato : 20-04-05 14:17

Wed, 20 Apr 2005 09:51:31 +0200 brugte Alex Holst 16 linier på at fortælle
dette til dk.edb.system.unix:

>> En af mine venner har også en konto på kassen. Hvis jeg siger at han skal
>> have nøglen for at logge ind, hvordan laver jeg så den nøgle - og hvor skal
>> han lægge den? Som det er nu får han jo bare stukket en nøgle ud hvis han
>> ikke har den i forvejen, og det vil jeg da godt give dig ret i virker lidt
>> åndssvagt...
>Se lige om http://mongers.org/ssh ikke hjælper dig lidt på vej. Spørg
>igen hvis du sidder fast.

Okay, jeg har leget lidt med vennens maskine, så når jeg nu ssh'er til ham,
spørger den efter nøglens passphrase istedet for mit system-password - fint
nok!

Men så kommer den dér ssh-agent, der som jeg forstår det også eliminerer
passphrasen. Men som jeg lige lurer det, så virker ssh-agent ikke i ren
konsol, men kun under X!? Ihvertfald får jeg følgende:

rander@debbie$ ssh-agent
SSH_AUTH_SOCK=/tmp/ssh-QOpBp14218/agent.14218; export SSH_AUTH_SOCK;
SSH_AGENT_PID=14219; export SSH_AGENT_PID;
echo Agent pid 14219;

rander@debbie$ ssh-add
Could not open a connection to your authentication agent.

Et lille sidespørgsmål: Det virker som om at brugeres .bashrc overhovedet
ikke udføres når man logger ind på min maskine... Ihvertfald har jeg bl.a.

alias ll='ls -l'

i ~rander/.bashrc, men:

rander@debbie$ ll
-bash: ll: command not found


--
Lars Rander ** Pil ikke ved min adresse ** :(){ :&:& };:
http://rander.dk (temporarily down!)

-Hvordan bliver høsten i år?
-Den bliver lidt om gennemsnittet, som den plejer. (Københavns Radio)


Kasper Dupont (20-04-2005)
Kommentar
Fra : Kasper Dupont


Dato : 20-04-05 14:28

Rander wrote:
>
> rander@debbie$ ssh-agent
> SSH_AUTH_SOCK=/tmp/ssh-QOpBp14218/agent.14218; export SSH_AUTH_SOCK;
> SSH_AGENT_PID=14219; export SSH_AGENT_PID;
> echo Agent pid 14219;

Det er vist meningen, at du skal køre outputet fra
ssh-agent. Altså noget i retning af: $(ssh-agent)

--
Kasper Dupont

Michael Knudsen (20-04-2005)
Kommentar
Fra : Michael Knudsen


Dato : 20-04-05 18:01

Rander wrote:
> Men så kommer den dér ssh-agent, der som jeg forstår det også eliminerer
> passphrasen. Men som jeg lige lurer det, så virker ssh-agent ikke i ren
> konsol, men kun under X!? Ihvertfald får jeg følgende:
>
> rander@debbie$ ssh-agent
> SSH_AUTH_SOCK=/tmp/ssh-QOpBp14218/agent.14218; export SSH_AUTH_SOCK;
> SSH_AGENT_PID=14219; export SSH_AGENT_PID;
> echo Agent pid 14219;
>
> rander@debbie$ ssh-add
> Could not open a connection to your authentication agent.

Som Kasper skriver, er outputtet fra ssh-agent kommandoer, som skal
fortolkes af din shell. Disse kommandoer goer, at variablene
SSH_AUTH_SOCK og SSH_AGENT_PID bliver oprettet med det korrekte indhold.

Naar ssh undersoeger, om der findes en ssh-agent, goer den det ved at
undersoege, om SSH_AUTH_SOCK er sat. Hvis den er, forsoeges der at
benytte denne som en unix-socket, og lykkes dette, vil klienten forsoege
at snakke med en ssh-agent i den anden ende.

Du kan maaske benytte foelgende til noget:

   http://sunsite.dk/~mk/SSH-NJLUG20040913/mgp00039.html

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

Kasper Dupont (20-04-2005)
Kommentar
Fra : Kasper Dupont


Dato : 20-04-05 10:08

Rander wrote:
>
> En af mine venner har også en konto på kassen. Hvis jeg siger at han skal
> have nøglen for at logge ind, hvordan laver jeg så den nøgle - og hvor skal
> han lægge den?

Han laver først et nøglepar (hvordan det gøres afhænger af hans
klient), dernæst placeres den offentlige nøgle i hans homedir på
kassen i filen ~/.ssh/authorized_keys.

> Som det er nu får han jo bare stukket en nøgle ud hvis han
> ikke har den i forvejen, og det vil jeg da godt give dig ret i virker lidt
> åndssvagt...

Øh, tænker du på den nøgle serveren bruger til at identificere
sig overfor klienten? I ssh bruger serveren altid en nøgle til at
identificere sig overfor klienten. Efter det er gjort kan klienten
så vælge at identificere sig med enten en nøgle eller et password.

--
Kasper Dupont

Alex Holst (22-04-2005)
Kommentar
Fra : Alex Holst


Dato : 22-04-05 17:00

Rander wrote:
> Jeg må indrømme at jeg har overvejet det, men lurer så lidt på hvordan man
> så får nøglen?
>
> En af mine venner har også en konto på kassen. Hvis jeg siger at han skal
> have nøglen for at logge ind, hvordan laver jeg så den nøgle - og hvor skal
> han lægge den? Som det er nu får han jo bare stukket en nøgle ud hvis han
> ikke har den i forvejen, og det vil jeg da godt give dig ret i virker lidt
> åndssvagt...

Jeg kan ikke lide dit brug af bestemt ental (nøglen) i dette tilfælde.

Hver bruger har et sæt nøgler, der består af en public og en privat
nøgle. Hvis andre skal have adgang til din server skal de sende dig
deres public key, og den placerer du i deres .ssh/authorized_keys. Hvis
brugeren sender dig deres private key skal du gøre noget ubehageligt ved
dem, så de lærer aldrig at gøre det igen.

Nøglen laves med ssh-keygen.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Rander (22-04-2005)
Kommentar
Fra : Rander


Dato : 22-04-05 22:55

Fri, 22 Apr 2005 17:59:46 +0200 brugte Alex Holst 25 linier på at fortælle
dette til dk.edb.system.unix:

>> En af mine venner har også en konto på kassen. Hvis jeg siger at han skal
>> have nøglen for at logge ind, hvordan laver jeg så den nøgle - og hvor skal
>> han lægge den? Som det er nu får han jo bare stukket en nøgle ud hvis han
>> ikke har den i forvejen, og det vil jeg da godt give dig ret i virker lidt
>> åndssvagt...
>Jeg kan ikke lide dit brug af bestemt ental (nøglen) i dette tilfælde.
>Hver bruger har et sæt nøgler, der består af en public og en privat
[...]

Right, alt det har jeg selv fundet ud af ved at læse næsten alt Google
pegede på! Inden da troede jeg bare at det var omvendt - at JEG skulle
generere nøglen, og derefter sende den ene del af den til vennen. Men jeg
er da (heldigvis) blevet klogere...
--
Lars Rander ** Pil ikke ved min adresse ** :(){ :&:& };:
http://rander.dk (temporarily down!)

En invasion af hære kan bekæmpes, men ikke en ide, hvis tid er kommet. (Victor Hugo)


Rander (20-04-2005)
Kommentar
Fra : Rander


Dato : 20-04-05 02:12

Wed, 20 Apr 2005 00:38:31 +0200 brugte Alex Holst 21 linier på at fortælle
dette til dk.edb.system.unix:

>> Men kan man ikke lave et eller andet smart med sshd, så hvis man f.eks.
>> giver forkert password to gange inden for fem minutter, så bliver ens IP
>> blokeret i 15 minutter eller noget i den stil?
>Hvorfor overhovedet benytte adgangskoder? Skift til keys. Slå
>PasswordAuthentication fra.

Det har jeg så prøvet - men den spørger stadig efter password når jeg
logger på (og ja, jeg HAR denstartet sshd)..?

--
Lars Rander ** Pil ikke ved min adresse ** :(){ :&:& };:
http://rander.dk (temporarily down!)

Kun idioter ændrer sig aldrig. (Georges Pompidou)


Kasper Dupont (20-04-2005)
Kommentar
Fra : Kasper Dupont


Dato : 20-04-05 10:11

Alex Holst wrote:
>
> Jeg synes personligt at advarselen i sshd's reverse DNS check lugter af
> 1995.

Det kan der være noget om. Er det ikke bare ekstra kode
som giver mulighed for flere fejl? Og i øvrigt synes jeg
det er irriterende at skulle vente på, når man engang
imellem har brug for at ssh ind på en boks, der lige i
øjeblikket ikke kan lave DNS opslag.

--
Kasper Dupont

Adam Sjøgren (20-04-2005)
Kommentar
Fra : Adam Sjøgren


Dato : 20-04-05 12:02

On Wed, 20 Apr 2005 03:12:20 +0200, Rander wrote:

> Wed, 20 Apr 2005 00:38:31 +0200 brugte Alex Holst 21 linier på at
> fortælle dette til dk.edb.system.unix:

> Det har jeg så prøvet - men den spørger stadig efter password når
> jeg logger på (og ja, jeg HAR denstartet sshd)..?

Hvis den ikke spurgte om kodeord, så ville man jo vide at kodeord er
slået fra.

Kan du logge ind hvis du skriver dit kodeord?


Mvh.

--
"Your problem is you've got no common sense." Adam Sjøgren
"I've got PLENTY of common sense! asjo@koldfront.dk
I just choose to ignore it."

Kasper Dupont (20-04-2005)
Kommentar
Fra : Kasper Dupont


Dato : 20-04-05 12:15

Adam Sjøgren wrote:
>
> On Wed, 20 Apr 2005 03:12:20 +0200, Rander wrote:
>
> > Wed, 20 Apr 2005 00:38:31 +0200 brugte Alex Holst 21 linier på at
> > fortælle dette til dk.edb.system.unix:
>
> > Det har jeg så prøvet - men den spørger stadig efter password når
> > jeg logger på (og ja, jeg HAR denstartet sshd)..?
>
> Hvis den ikke spurgte om kodeord, så ville man jo vide at kodeord er
> slået fra.

Er det overhovedet serveren, der spørger efter kodeordet?
Jeg kender ikke så mange detaljer i ssh protokollen, men
jeg troede egentlig at det var klienten, der først spørger
brugeren efter et kodeord og først når kodeordet er sendt
til serveren tager den stilling til, om den vil acceptere
det.

--
Kasper Dupont

Stig H. Jacobsen (22-04-2005)
Kommentar
Fra : Stig H. Jacobsen


Dato : 22-04-05 00:11

On Tue, 19 Apr 2005 16:49:27 +0200, Rander wrote:

> Som så mange andre sikkert også har, så har jeg i min auth.log en masse af
> disse linier:

Ikke lige som dine, men f.eks.:

Apr 17 18:49:27 gatekeeper sshd[22579]: Failed password for illegal user andres from 64.113.x.y
Apr 17 18:49:33 gatekeeper sshd[22581]: Failed password for illegal user barbara from 64.113.x.y

På min ADSL hjemme: Knap 300 forsøg på ssh-logins siden 17.
april, eller 50+ dagligt. Business as usual, men jeg er imponeret
over mængden. Og jeg kører ikke nogen særligt besøgte webservere
eller noget.

Jeg har overvejet at få installeret noget port-knocking-halløjsa
på firewallen, så sshd først startes, når der er behørigt banket
på. Har dog ikke fået researchet emnet endnu og fundet ud af hvad
der er af muligheder.

--
Stig

Michael Rasmussen (22-04-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 22-04-05 11:57

"Stig H. Jacobsen" <stighj-nospam@FJERNES_gmail.com> wrote:

>Apr 17 18:49:27 gatekeeper sshd[22579]: Failed password for illegal user andres from 64.113.x.y
>Apr 17 18:49:33 gatekeeper sshd[22581]: Failed password for illegal user barbara from 64.113.x.y

...cut

>Jeg har overvejet at få installeret noget port-knocking-halløjsa
>på firewallen, så sshd først startes, når der er behørigt banket
>på. Har dog ikke fået researchet emnet endnu og fundet ud af hvad
>der er af muligheder.

Det er ikke nødvendigt: Brug nøgler og de-aktivere brugen af password.
Så er der ikke nogen der slipper igennem...

Er du træt af alle linierne i log-filen kan du lade ssh-serveren køre på
en anden port end den standardiserede port 22...
<mlr>

--

The two basic principles of Windows system administration:

* For minor problems, reboot
* For major problems, reinstall

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste