Probleme mit Angriffen über SSH

[tom877]

Hallo ,
ich bin mir nicht sicher, ob ich hier mit meinem Problem so richtig bin, dennoch werde ich mal schildern, was mich in letzter Zeit beunruhigt,

Ich bin seit geraumer Zeit in dem Besitz eines Root Servers, jedoch plagen mich seit einiger Zeit massenhafte Login-versuche über SSH, zuerst hab ich dies gar nicht wirklich wahr genommen, bis mir über Nettop aufgefallen ist, dass der SSH Traffic mit mehreren GBytes mir etwas zu groß erscheint.

Die unglaublich große auth.log (/var/log/) machte mich denn zu tiefst misstrauisch, es waren unzählbar viele, automatisierte Versuche unternommen worden sich Zugriff auf den Server über SSH zu verschaffen.

Nach kurzer Suche mit Google, bin ich auf das Programm fail2ban gestoßen, hab es konfiguriert, und lasse mir jedesmal eine E-Mail schicken, wenn jemand zwei Fehlerhafte SSH-Login Versuche hat, diese IP wird ebenfalls für die nächsten 60 Minuten gesperrt.

Naja... denn hab ich also täglich um die 30 EMails bekommen, wobei es selten vorkam, dass eine IP doppelt war. Um dies ein bisschen einzudämmen, hab ich Länder wie China oder Korea mit Hilfe von iptabels ausgesperrt, da die meisten Angriffe von dort stammten.
Keine sehr "saubere" Lösung, aber die Anzahl der Loginversuche minimierte sich, nun sind es "nur noch" zwischen 5 und 10.

Auch wenn das Passwort mehr als 16 bunt durchmischte Zeichen beinhaltet, ist es trotzdem kein schöner Nachgeschmack, die Bestätigung zu haben, dass ein Botnet einem an die Tür klopft.

Informationen zum Server:
uname -a:
Linux [meinedomain.tdl] 2.6.32-5-amd64 #1 SMP Mon Feb 25 00:26:11 UTC 2013 x86_64 GNU/Linux
Linux Debian-60-squeeze-64-minimal
Anbindung: 100mbit/s; Hetzner: RZ10

Der Server wird nur für Virtualisierung mit VirtualBox für Private Zwecke verwendet, dabei verwende ich PHPVirtualBox für die Verwaltung, auf einem Apache2 Webserver, mit abgeänderten Port und kryptischen Ordnernamen.

Meine Frage ist nun ob es eine gute Möglichkeit gibt die Angriffe abzuwehren oder es zumindest für den Angreifer schwerer zu machen. Dabei ist zu erwähnen, dass ich mich auch von den verschiedensten Orten über SSH anmelde und mein eigener Internet Provider darüber hinaus meinem Privaten Internet Anschluss jeden Tag eine neue IP zuordnet, wie es üblich ist.

Ich freue mich auf Eure Antworten und bedanke mich schon mal im Voraus.

[syssi]

Eine aehnliche Frage gab es gestern schon: http://debianforum.de/forum/viewtopic.php?f=8&t=142677

Asien aussperren ist ziemlich radikal. Wenn du fail2ban magst, dann ist vielleicht auch blocklist.de etwas fuer dich. Obwohl externe Blacklists immer mit Vorsicht zu genießen sind. Grundsaetzlich ist die Public-Key Authentifizierung ein guter Weg, um sich etwas sicherer zu fuehlen.

[shoening]

Hi,

wahrscheinlich hast Du bzgl. SSH schon Ruhe, wenn Du einen anderen Port nimmst (irgendwas hohes), weil die meisten
Einbruchsversuche das gar nicht erst probieren.

Ausserdem solltest Du von Passwort auf Public/Private Key-Authentication umstellen - und SSH-Root Zugriff verbieten.
Du findest zur Absicherung von SSH auch einen Artikel im Wiki:
[wiki]Secure_Shell_(SSH)_–_Halte_deine_Verbindungen_sicher[/wiki]

Da Du die Administration der Virtualbox Instanzen ueber den Apache machst, sollte der nur auf localhost horchen - das kannst Du ja dann per SSH Tunneln.

Hast Du alle anderen Dienste schon abgeschaltet?

Aber: wofuer braucht man einen Root-Server fuer Virtualboxen fuer private Zwecke?

Ciao
Stefan

[tom877]

Danke für die Antworten

wahrscheinlich hast Du bzgl. SSH schon Ruhe, wenn Du einen anderen Port nimmst (irgendwas hohes), weil die meisten
Einbruchsversuche das gar nicht erst probieren.

Ausserdem solltest Du von Passwort auf Public/Private Key-Authentication umstellen - und SSH-Root Zugriff verbieten.
Du findest zur Absicherung von SSH auch einen Artikel im Wiki:
[wiki]Secure_Shell_(SSH)_–_Halte_deine_Verbindungen_sicher[/wiki]

Okay, klingt machbar. Danke dafür

Da Du die Administration der Virtualbox Instanzen ueber den Apache machst, sollte der nur auf localhost horchen - das kannst Du ja dann per SSH Tunneln.

Ich verwalte das Interface nicht nur von Zuhause, sondern von so ziemlich überall wo ich bin... und ich bin oft wo anderes...
Das erscheint mir denn zu Umständlich und bisher sind die Apache Logs noch in Ordnung .

Hast Du alle anderen Dienste schon abgeschaltet?

Welche anderen Dienste? Was ist denn bei Debian-minimal noch dabei, was man abschalten könnte?

Aber: wofuer braucht man einen Root-Server fuer Virtualboxen fuer private Zwecke?

So hab ich von überall Zugriff auf meine Gewohnte Arbeitsumgebung (Mit gewohnten Programmen wie z.B. Skype; LibreOffice etc.), mittels Remote Desktop Verbindung. Ich kann große Datenmengen abspeichern, Blender Projekte rendern, mit Betriebssystemen experimentieren und wenn ich denn auch mal einen kleinen Server für Serverapplicationen brauche (Naja... sowas wie Teeworlds oder Teamspeak), kann ich das auch über den Server laufen lassen... wobei dies natürlich außerhalb einer Virtuellen Maschine passiert.

Nochmals Danke für die Antwort.

[shoening]

Hi,

Welche anderen Dienste? Was ist denn bei Debian-minimal noch dabei, was man abschalten könnte?

Du kannst ja mal

Code: Alles auswählen

netstat -tulpen

laufen lassen, um zu schauen, welche Ports noch alle offen sind.

Ciao
Stefan

[catdog2]

Normales Hintergrundrauschen. Einfach hart ignorieren und fertig.
Gutes Passwort benutzen oder key auth sollte eh selbstverständlich sein.

[dufty]

Asien aussperren ist ziemlich radikal.

Nö, nicht die Bohne.
Im Cisco-Umfeld wird stets mit ACLs gearbeitet und nur Admin-Hosts erlaubt.
Das ist natürlich im Privat-Bereich mit evtl. wechselnde IPs etwas schwieriger.
Falls der Provider Consolenzugang zur Verfügung stellt, würde ich ssh ganz abschalten.
Wo nix ist, geht nix kaputt.

[syssi]

Asien aussperren ist ziemlich radikal.

Nö, nicht die Bohne.
Im Cisco-Umfeld wird stets mit ACLs gearbeitet und nur Admin-Hosts erlaubt.
Das ist natürlich im Privat-Bereich mit evtl. wechselnde IPs etwas schwieriger.
Falls der Provider Consolenzugang zur Verfügung stellt, würde ich ssh ganz abschalten.
Wo nix ist, geht nix kaputt.

Ich habe in dem Moment nicht darueber nachgedacht, dass es sich nur um SSH handelt. Wenn niemand einen Nutzen daraus hat sich aus Asien einloggen zu koennen, dann kann der Adressbereich wirklich draussen bleiben. Ich war davon ausgeangen, dass kein Dienst (insb. http) aus Asien erreichbar ist und das waer vielleicht schade.

[GreasanDev]

Ausserdem solltest Du von Passwort auf Public/Private Key-Authentication umstellen - und SSH-Root Zugriff verbieten.

1. Wenn man bereits den Port geändert, Key Auth für nur EINEN Benutzer (nicht root) eingerichtet und den Login via Passwort verboten hat, braucht man doch eigentlich nicht mehr den Login via root explizit zu verbieten?

Hab ja quasi schon alles ausgesperrt, außer "meinen" User. Oder übersehe ich da was?

2. Will jetzt kein neues Thema eröffnen, wenn wir schon bei SSH Sicherheit sind ...
Habe letztens einen Tipp gelesen: Gleich alle IPs aussperren und mit Whitelists arbeiten.
Ich denke aber das ist zu viel des guten, fast schon paranoid. Was meint ihr?

Edit: Ich meine alle Ports sperren, nicht IPs.

[r4pt0r]

Das "Grundrauschen" und damit sicherlich 95% aller unauthorisierten Loginversuche ist man durch Portwechsel los - bei mir läuft SSH an keinem Server, Desktop oder Notebook mehr auf dem Standardport. (Desktops/Notebooks eher damits einheitlich ist...)

Server erlauben sowieso nur Login mit key UND passphrase.

Im Netzwerk bekommen meine Rechner vom DHCP immer die selben IPs zugewiesen, Login an den Virtualisierungs-hosts wird nur von diesen IPs gestattet (+key). Die Router und Switches gehorchen ebenfalls nur auf diese IPs... In nem Netz das auf mehrere Gebäude verteilt ist in denen überall Netzwerkdosen hängen macht das durchaus sinn...