Nutzer per SSH gesperrt

[DerH0ns]

Hi
Ich habe heute meinen Root-Server bekommen.Nachdem ich meine ganzen user etc. angelgt hatte habe ich getest ob ich mich eiloggen kann ,klappt.Dann nach etwa 2h wollte ich etwas per sftp kopieren klappt nicht also hab ich den SSH login von dem user geprüft ging leider auch nicht wirklich:

Code: Alles auswählen

Received disconnect from xx.xxx.xxx.xxx: 2: Too many authentication failures for web

In der auth.log stehen aber "nur" 10 hack angriffe auf den root user:

Code: Alles auswählen

Jun 21 14:37:22 sh477-12 sshd[1482]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.165.185.203  user=root
Jun 21 14:37:29 sh477-12 sshd[1485]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.165.185.203  user=root
Jun 21 14:37:37 sh477-12 sshd[1487]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.165.185.203  user=root
Jun 21 14:37:43 sh477-12 sshd[1489]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.165.185.203  user=root
Jun 21 14:37:49 sh477-12 sshd[1491]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.165.185.203  user=root
Jun 21 14:37:55 sh477-12 sshd[1493]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.165.185.203  user=root
Jun 21 14:38:00 sh477-12 sshd[1495]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.165.185.203  user=root
Jun 21 14:38:07 sh477-12 sshd[1497]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.165.185.203  user=root
Jun 21 14:38:12 sh477-12 sshd[1499]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.165.185.203  user=root
Jun 21 14:38:20 sh477-12 sshd[1501]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.165.185.203  user=root
Jun 21 14:38:30 sh477-12 sshd[1503]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.165.185.203  user=root

Wie kann ich den "Counter" zurück setzten oder deaktiveren?

[Cae]

fail2ban oder ähnliches installiert? Dagegen spricht, dass die Verbindung gar nicht zustande kommen würde.

Sonst sollte nach sshd_config(5) die Direktive MaxAuthTries dein Szenario beschreiben. Du kannst ja mal ihren Wert bestimmen.

Gruß Cae

[DerH0ns]

Nein kein Fail2Ban, in der auth.log erscheint auch nix noch der meldung.

[uname]

/etc/pam.d/ssh und dort verknüpfte Dateien?

[DerH0ns]

Dort gibt es keine Datei die SSH heißt sondern nur sshd, wonach soll ich in ihr suchen?

[uname]

Sonst sollte nach sshd_config(5) die Direktive MaxAuthTries dein Szenario beschreiben.

Gab es den Eintrag in /etc/sshd_config? Bei mir gibt es den im übrigen nicht. Wenn du ihn auskommentierst musst du den SSH-Server neu starten oder reloaden.

[DerH0ns]

Bei mir gibt es den auch nicht.

[DerH0ns]

Noch ideen? Ich kann mich nähmlich mit gar keinem User mehr einloggen