Praxistipp: Verringerung der Einbruchsversuche via SSH

  • Hallo,


    Die meisten von euch, die sich mal Ihr authlog von Zeit zu Zeit mal anschauen werden festellen, das gerade aus China und Afrika jede menge SSH Zugriffsversuche eintreffen.Es ist keine Seltenheit dass das log mal schnell 20-30 GBytes groß werden kann, da serienmässig von den Angreifern alle nur denkbaren Usernames/Password Kombinationen durchgetestet werden.Natürlick kann man jede einzelne IP Adresse mittels Firewall aussperren und/oder Fail2Ban installieren, jedoch hält das die Angreifer nicht davon ab es nach ein paar Minuten mit einer neuen IP erneut zu versuchen. Insbesondere ärgerlich ist, das jeder Zugriff protokolliert werden muss,Bandbreite und CPU Zeit frisst und damit die Leistung eures Servers"verbraucht" wird (auch dann wenn mit passphrase und/oder Clientzertifikat und ohne
    username/Password gearbeitet wird) Für die, die schon IPv6 nutzen gibt es einen einfachen Trick, der in der Praxis recht gut funktioniert.Legt euren SSHD einfach auf eine IPv6 Adresse (nicht am Anfang und nicht am Ende eures IPv6 Addressbereichs) sowie auf einen hohen Port.


    Der Aufwand für den Angreifer steigt durch diesen Trick ins unermessliche.Natürlich könnte er einen Rangescan auf euer gesammtes IPv6 Subnet durchführen, sämmtliche Ports pro IPv6 auf SSH Aktivität testen, nur würde das dann ca.100 Jahre dauern bis er auf eine interessante SSHD IPv6 Adresse/Port Kombination stösst (euer IPv6 Subnet hat über 4 Milliarden Addressen).Auch kann es hilfreich sein den SSH Zugriff generell nur für IP's aus Deutschland zu gestatten(wenn klar ist das die SSH User aus Deutschland kommen). Wer mag kann das ganze natürlich noch zusätzlich mit geeigneten Paketfilterregeln und/oder Fail2Ban zusätzlich absichern.


    Catfish

  • btw: Ein VPN als zusätzliche Barriere kann manchmal auch sehr nützlich sein, nicht nur für SSH! :thumbup:



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Das mit den Logs kommt auf die Umgebung an.
    Wenn systemd alles übernimmt und sauber konfiguriert ist, hat eh nur ein Ringspeicher und der kann nicht größer werden als eingestellt :)

  • Das mit den Logs kommt auf die Umgebung an.
    Wenn systemd alles übernimmt und sauber konfiguriert ist, hat eh nur ein Ringspeicher und der kann nicht größer werden als eingestellt :)


    Nutzt ja nun nicht jeder immer und überall Linux oder ein SystemD aktiviertes OS :)
    Bei OpenBSD z.B findet ab einer gewissen größe ein rollover statt.Das ältere Log wird komprimiert und gesichert und ein neues logfile angefangen.Natürlich kann man auch schwellwerte einstellen.Allerdings ändert das nichts daran das von aussen Pakete eintreffen die dann verarbeitet ggf. gedroppt werden müssen und auch das kostet immer CPU/RAM und Bandbreite,was nicht sein muss.