Ubuntu, ssh og sikkerhet

[Blippblopp]

Har en Ubuntu-maskin som jeg kopler til via ssh. (putty, vnc, winscp)

Ser i /var/log/auth.log at det er flere forsøk på å komme seg inn på serveren.

Eksempel fra log:

 

Oct 31 08:35:39 Ubuntu-server sshd[9445]: Failed password for invalid user angie from 89.97.242.23 port 41081 ssh2

Oct 31 08:35:39 Ubuntu-server sshd[9448]: Invalid user angela from 89.97.242.23

Oct 31 08:35:39 Ubuntu-server sshd[9448]: pam_unix(ssh:auth): check pass; user unknown

Oct 31 08:35:39 Ubuntu-server sshd[9448]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=89-97-242-23.ip19.fastwebnet.it

Oct 31 08:35:41 Ubuntu-server sshd[9448]: Failed password for invalid user angela from 89.97.242.23 port 41685 ssh2

Oct 31 08:35:42 Ubuntu-server sshd[9450]: Invalid user anita from 89.97.242.23

Oct 31 08:35:42 Ubuntu-server sshd[9450]: pam_unix(ssh:auth): check pass; user unknown

Oct 31 08:35:42 Ubuntu-server sshd[9450]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=89-97-242-23.ip19.fastwebnet.it

Oct 31 08:35:44 Ubuntu-server sshd[9450]: Failed password for invalid user anita from 89.97.242.23 port 41828 ssh2

 

 

 

Er det normalt at det vil komme slike "innbruddsforsøk"?

[Sjark]

Vet ikke hvor normalt det er, men du kan edite /etc/ssh/sshd_config å endre port

Endret 31. oktober 2007 av Sjark

[NevroMance]

Det er helt normalt. Så lenge du ser i loggen at de blir stoppa kan du føle deg ganske trygg. Hvis du vil ha færre forsøk på dette kan du jo endre port fra 22 til f. eks. 82417 som jo færre vil forsøke seg med ssh mot.

[Gjest Slettet-df17e]

Ja, det er helt normalt med slike "innbrudsforsøk", Blippblopp.

Gjør som nevn over her; bytt porten SSH lytter på

[Blippblopp]

Det var det jeg regnet med ja... Får skifte til en random port.

Takk!

[Sjark]

Det er helt normalt. Så lenge du ser i loggen at de blir stoppa kan du føle deg ganske trygg. Hvis du vil ha færre forsøk på dette kan du jo endre port fra 22 til f. eks. 82417 som jo færre vil forsøke seg med ssh mot.

 

Men du, endre til port 82417 vil bli et problem siden port rangen går fra 1-65565

[AudunSæther]

http://ubuntuforums.org/showthread.php?t=254149

 

Denyhosts fungerer ypperlig... mer enn X antall feilforsøk på innlogging og IP-adressen blir blokkert.

Endret 31. oktober 2007 av Izte

[NevroMance]

Det er helt normalt. Så lenge du ser i loggen at de blir stoppa kan du føle deg ganske trygg. Hvis du vil ha færre forsøk på dette kan du jo endre port fra 22 til f. eks. 82417 som jo færre vil forsøke seg med ssh mot.

 

Men du, endre til port 82417 vil bli et problem siden port rangen går fra 1-65565

 

Hehe, joa. Tilfeldig tasting på numpaden gjør så en kan bomme litt

[masterboy]

Men de må jo ha brukernavn og knekke passordet først. Dersom det er gjennomtenkt, så anser jeg det som upraktisk å bytte fra port 22, da det på en måte blir et ekstra passord å huske.

[cyclo]

Jeg har hatt en server kjørende i 6 år på fast ip. Slike "innbruddsforsøk" skjer stadig vekk, og har aldri resultert i noe annet enn et par ekstra linjer i logfilen. Du kan nok ta dette med knusende ro. Ingen vits å skifte port slik det foreslåes over. Det skaper bare krøll.

[NevroMance]

Er jo selvsagt mer å huske. Men 0 problem å fikse. Bruker selv en bash fil som logger meg på automatisk på riktig port, ip og brukernavn, så eneste jeg trenger å huske er passordet mitt. Selv om jeg selvsagt har alt skrevet ned på papir, just in case. Hmmm... Ble jeg plutselig litt usikker på en ting: Finnes det en root-bruker i ubuntu eller er det kun sudo? Hvis det finnes burde du hvertfall, hvis du ikke alt har gjort det og uavhengig av om du skifter port, nekte root-login via ssh.

[AlecTBM]

jeg har endra port fordi det ligger litt sensetiv informasjon på servern min.

Har også deaktivert å logge inn som root og det er kun 2 brukere som man kan logge inn på. Hvis noen prøver å logge inn 5 ganger med feilpassord og/eller brukernavn fra samme ip, så blir ip'n lagt i en mysql database og blokkert. phpmyadmin har fått en annen port enn 80. Kan være at jeg er litt paranoid da, men er jo best å være på den sikre siden

Endret 29. februar 2008 av AlecTBM

[cyclo]

AlecTBM: Du skal ikke likegreit mure maskinen inn i betong og senke den ned på havets dyp? Men fra spøk til alvor:

 

Folk bruker ofte masse tid og energi på "sikkerhet" i form at slik ting du nevner, men glemmer det viktigste, nemlig et sikkert passord. Et bra passord, som skiftes ofte og er ikketrivielt å "brute foce" er alfa og omega. Bruk et sikkert passord, alt annet er ekstra og er nedprioritert i forhold.

 

Jeg har flere ganger opplevd folk som har brukt masse tid på slik "sikkerhet". Endre port, nekte root access, logge og nekte IP-adresser, etc. og bruker f. eks. navnet på hunden sin som passord.

[AlecTBM]

hehe

nei det passordet der tviler jeg på at noen gjetter.

men bruteforce er man jo aldri sikker for.

 

Men for å svare på den kommentaren.

Hvis jeg murern inne og senker den til havets dyp.

Så blir jo servern overoppheta kansjke i isvann og hurtigsement

[cyclo]

men bruteforce er man jo aldri sikker for.

Aldri 100% sikker. Men om man bruker litt vett så kan man sikre seg rimelig mye mot "bruteforcing". Et fint tips er å bruke en "frase" gjerne i forbindelse med både tall og tegn. Tenk hvor mye mer som skal til for å "brutefoce".

 

"I går leste jeg om $1998 i VG. <- egentlig bare LØGN"

 

enn

 

"abz98f"

 

PS! Ingen vits å prøve disse passordene hos meg Det var et tankeeksperiment

Endret 31. oktober 2007 av cyclo

[Paull]

Et annet tips kan være å disable passord i det store og hele, og kun bruke public/private keys. Bakdelen er jo at man er nødt å ha med seg privat-nøkkelen, men fordelen er jo at den er en god del vanskeligere å bruteforce enn et passord.

[AudunSæther]

Denyhosts og er godt passord er sikkert nok for meg. Sjansen for at "noen" treffer rett passord på 3 forsøk er liten, og deretter blir jo IP-adressen sperret.

 

Om du selv taster feil 3 ganger er det noe annet, men man må jo bare passe på

[Kaplan]

Jeg bruker fail2ban på en ubuntuserver og det funker utmerket. Det sperrer ip-en i en halv time etter tre mislykkede innloggingsforsøk.

[cyclo]

Paull: Om man f. eks. har mulighet for å ha nøkkel liggende på en minnepinne man har i lomma, så burde det fungere glimrende.

 

Iste og orjanr: Det fungerer som ekstra sikkerhet ja, i tillegg til et bra passord. Bare vær klar over at det på ingen måte forhindrer noen som har et botnet fra å bruteforce.

[Gjest Slettet+9871234]

Litt teit spm, men hvordan lager man et godt übersterkt passord rimelig enkelt? Finnes det noen fine metoder?