ssh-Zugang verloren

jhr-online · Beitrag von **jhr-online** » 18.09.2005 15:58:19

Hi Leute,

diese Anfrage mag euch vielleicht total bescheuert vorkommen, aber ich komme nicht weiter. Ich habe Debian sarge installiert, apache, php4, mysql, dhcpd3... nichts besonderes. Bis vor kurzem hatte ich auch ssh-Zugang zu diesem PC. Dann hab ich das berühmt "securing debian" mehr oder weniger gelesen und ein paar einstellungen geändert, die die Protokollierung von Diensten und sowas ändern. Eigentlich nichts sicherheitsrelevantes - dachte ich. Auf einmal meldet mir nämlich jedes ssh-Programm (PuTTY, sshsecureshell, etc.) "connection refused".
Ich hab also alles rückgängig gemacht, was ich geändert hab - dachte ich. Es tut nämlich nicht mehr. Und ich hab keine Ahnung, wo ich jetzt suchen soll. Daher: Könnt ihr mir vielleicht verraten, wo eurer meinung nach der Wurm drin ist?

gms · Beitrag von **gms** » 18.09.2005 16:05:39

läuft der sshd:

Code: Alles auswählen

ps aux | grep sshd

kannst du dich lokal (am Server) über ssh anmelden:

Code: Alles auswählen

ssh localhost

Gruß und ein "Willkommen im Forum"
gms

jhr-online · Beitrag von **jhr-online** » 18.09.2005 19:41:31

Code: Alles auswählen

$ ps aux | grep sshd
root      1208  0.0  0.4  3720 1244 ?        Ss   Sep17   0:00 /usr/sbin/sshd

und

Code: Alles auswählen

$ ssh localhost
ssh_exchange_identification: Connection closed by remote host

Also, läuft der und lässt mich nicht rein. Und nu?

mauser · Beitrag von **mauser** » 18.09.2005 20:04:16

hi,

hast du irgendetwas in der sshd_conf oder im PAM geändert ?
mfg
mauser

[edit] wie sieht es mit anderen benutzern aus ? geht root ? gehen normale user ?

gms · Beitrag von **gms** » 18.09.2005 20:09:43

Mit "ssh -vvv localhost" bekommst du mehr debugging info.
Hast du irgendetwas an /etc/host.allow ... gedreht ?

Gruß
gms

jhr-online · Beitrag von **jhr-online** » 18.09.2005 22:40:28

Code: Alles auswählen

ssh -vvv localhost
OpenSSH (version etc.)...
debug1: Reading configuration data /etc/ssh/ssh_config
debug2: ssh_connect: needpriv 0
debug1: Connecting to localhost [127.0.0.1] port 22.
debug1: Connection established.
debug1: identity file /root/.ssh/identity type -1
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_dsa type -1
ssh_exchange_indentification: Connection closed by remote host

In der hosts.allow steht nur "ftpd: ALL" in der hosts.deny "ALL: ALL". Das war aber - glaube ich - auch schon. In der ssh_config stehen nur Kommentare und in der sshd_config ne Menge...

http://nopaste.debianforum.de/1128

jhr-online · Beitrag von **jhr-online** » 19.09.2005 13:15:48

hat nicht irgendjemadn von euch noch ne Idee, oder kann was damit anfangen, was in den o.g. Dateien steht? Ich komme so echt nicht weiter...

herrchen · Beitrag von **herrchen** » 19.09.2005 13:58:50

jhr-online hat geschrieben::( hat nicht irgendjemadn von euch noch ne Idee, oder kann was damit anfangen, was in den o.g. Dateien steht? Ich komme so echt nicht weiter...

lösche den inhalt von "/etc/hosts.allow" und "/etc/hosts.deny".

herrchen

jhr-online · Beitrag von **jhr-online** » 19.09.2005 20:11:59

In der Tat, das hat's gebracht. Aber mal ganz ehrlich, steht der Server jetzt nicht mehr oder weniger offen wie ein Scheunentor? Sollte da nicht sinnvollerweise was drin stehen? Was habt ihr denn so in den hosts.allow bzw. hosts.deny stehen?
Danke übrigens für die Hilfe!

mauser · Beitrag von **mauser** » 19.09.2005 20:14:46

hi,

gar nix

die einstellungen sollte man nur benutzen, wenn man wirklich bestimmte hosts ausschliessen will. ich hab das z.b. mal gemacht um nervige ssh attacken vom selben host zu sperren oder sowas. aber warum sollte der rechner dadurch für alle offen sein ? du erlaubst denen doch keinen login automatisch oder sowas, sondern nur, überhaupt mit deinem server kommunizieren zu dürfen.
mfg
mauser

jhr-online · Beitrag von **jhr-online** » 20.09.2005 11:55:52

Ich bin ein genügsamer Mensch und glaube dir. Dann lasse ich es so. Aber viellcith darf ich ne doofe Frage hinterhersetzen?
Du sagst, du hattest nervige ssh-Attacken. Woran hast du das gemerkt. Anders: Welche logs muss ich wohl regelmäßig lesen, oder was muss ich einstellen, damit mich der Server bei den wichtigen Sachen auch per e-mail informiert?

herrchen · Beitrag von **herrchen** » 20.09.2005 14:46:05

jhr-online hat geschrieben: Du sagst, du hattest nervige ssh-Attacken. Woran hast du das gemerkt. Anders: Welche logs muss ich wohl regelmäßig lesen, oder was muss ich einstellen, damit mich der Server bei den wichtigen Sachen auch per e-mail informiert?

/var/log/auth.log
"logcheck" z.b.

herrchen

mauser · Beitrag von **mauser** » 20.09.2005 18:12:57

hi,

wie herrchen schon sagte, in der /var/log/auth.log findest du die wichtigsten infos über ssh attacken. dann sind natürlich noch andere logfiles von bedeutung, je nachdem welche dienste du nutzt.
ich benutze das programm "logwatch", ich weiss nicht in welchen punkten es sich von logwatch unterscheidet, aber schau dir doch einfach mal die sachen an..
mfg
mauser