Version 10 - Historie - Absichern mit denyHosts - Kunterbunt - Redmine-test bei jbc.at

Absichern mit denyHosts » Historie » Version 10

Josef Braun, 11.09.2012 15:34

-Josef Braun
+{{toc}}
 Josef Braun
-Josef Braun
+h1. Absichern mit denyHosts
 SSH Attacken mit denyhosts abwehren
 SSH - Secure Shell
 Über ssh werden alle Daten verschlüsselt übertragen, von daher ist es zur Konfiguration und Wartung eines Root-Servers eine beliebte Shell. Passwörter und Eingaben können nicht oder nur sehr schwer entschlüsselt werden … und wenn, dann dauert es Jahre. Ein beliebter Sport ist es, den ssh-Zugang mit Anfragen zu bombadieren, User herauszufinden und Passwörter zu hacken. Dabei werden Listen von Usern durchgegangen, die mit einer weiteren Liste von Passwörter abgefragt werden. Meist sind es aber Service-Accounts, die kein Passwort hinterlegt haben, aber dennoch einen ssh-Zugang zulassen.
 Grundsätzlich sollte in der /etc/passwd kein Account mit einer Shell hinterlegt sein, ausser denen, die auch benutzt werden. Selten arbeiten Systemadministratoren z.B. mit den Accounts mysql, wwwrun, news, named oder ähnlichen. Bei diesen sollte folgende Einstellung gemacht werden:
 In der Datei /etc/passwd
 <pre>
 mysql:x:60:103:MySQL database admin:/var/lib/mysql:/bin/false
 </pre>
 false hinterlegt keine Shell sondern loggt einen Anwender sofort wieder aus. In manchen Distributionen (z.B. SuSE) steht hier bash, welches die Shelloberfläche ist. Hat der Account mysql kein Passwort hinterlegt und eine bash als Oberfläche, so steht einem Login nichts im Wege. Nun können Eindringlinge zwar mit dem Account mysql arbeiten. Also sollten solche Service-Accounts immer mit false konfiguriert sein.
 SSH-Angriffe aktiv abwehren
-Josef Braun
+h2. DenyHosts aus dem Repository installieren
-Josef Braun
+Unter Opensuse kann dieses Tool auch aus einem Repository installiert werden welches auf der nachfolgenden Url zu finden ist:
 Josef Braun
 http://download.opensuse.org/repositories/network:/utilities/openSUSE_12.1/
 Eine Installation mittels Zypper unter Einbindung dieses Tools erfolgt dann wie folgendermaßen:
 <pre>
 zypper addrepo --check --refresh --keep-packages -n "Network Utilities - Denyhosts" http://download.opensuse.org/repositories/network:/utilities/openSUSE_12.1/ network-utilities-repo
 </pre>
 Die Installation des Tools dann mittels
 <pre>
 zypper in denyhosts
 </pre>
 Anschließend die Konfiguration anhand nachfolgendem Muster vornehmen bzw. adaptieren.
 Josef Braun
 h2. DenyHosts herunterladen
 Hier wird beschrieben, wie der SSH-Zugang mit dem Tool DenyHosts (http://denyhosts.sourceforge.net/index.html) abgesichert wird.
 Dieses Tool ist ein Zusatzprogramm, welches die Logfiles der SSH-Programme überwacht und IPs, die sich mehr als 5 mal (frei wählbar) falsch angemeldet haben, in die /etc/hosts.deny eintragen. IPs, die in dieser Datei stehen, werden dann entweder für einen bestimmten Service (ssh) oder für den gesamten Zugang geblockt.
 h2. Tests, ob der Server überhaupt geeignet für DenyHosts ist
 # Als Root auf dem Server anmelden
 # In der Datei /etc/hosts.deny ergänzen und dann abspeichern:
 <pre>
 sshd: 127.0.0.1
 </pre>
 # vom Server aus einen ssh-Zugriff auf localhost durchführen
 <pre>
 ssh localhost
 </pre>
 # Es sollte folgende Fehlermeldugn erscheinen:
 <pre>
  ssh_exchange_identification: Connection closed by remote host
 </pre>
 # wenn diese Meldung erscheint, dann wurde ssh mit tcp_wrappers kompiliert, wenn ein normaler Zugriff m,öglich war, dann war der Server ohne tcp_wrapper kompiliert
 # Aus der Datei /etc/hosts die oben ein gegebene Zeile wieder entfernen und abspeichern
 h2. Installation
 Voraussetzung ist, dass python auf dem Server installiert ist. Laden Sie sich das Programm herunter und entpacken es. Danach wechseln Sie in das entpackte Verzeichnis und installieren das Programm mit dem Befehl:
 <pre>
  python setup.py install
 </pre>
 Dieses Tool nimmt sämtliche Kopiervorgänge vor.
 h2. Konfiguration
-Josef Braun
+Einen Symbolic Link ins etc Verzeichnis legen
 <pre>
 ln -s /usr/share/denyhosts /etc/denyhosts
 </pre>
-Josef Braun
+Wechseln Sie in das Verzeichnis /usr/share/denyhosts
 Hier liegt die Konfigurationsdatei sowie das Programm daemon-control, der das Tool startet, beendet oder restartet.
 Bearbeiten Sie nun die Datei denyhosts.cfg-dist: Passen Sie mindestens folgende Einträge auf Ihr System an:
 <pre>
 SECURE_LOG = /var/log/messages
 HOSTS_DENY = /etc/hosts.deny
 </pre>
 Falls Sie über alle Block-Vorgänge per email unterrichtet werden möchten, gibt es den Bereich ADMIN_EMAIL. Hier können Sie Ihre email-Adresse hinterlegen, dann werden Sie bei jedem Eintrag in die hosts.deny darüber unterrichtet. Lassen Sie dieses Feld leer, bekommen Sie auch keine email.
 Danach benennen Sie die Datei um:
 <pre>
 mv denyhosts.cfg-dist denyhosts.cfg
 Josef Braun
 # bzw.
 cp denyhosts.cfg-dist denyhosts.cfg
-Josef Braun
+</pre>
-Josef Braun
+Nun muss das Dämon-Kontrollprogramm (daemon-control-dist) angepasst werden. Falls die Installation per setup.py vorgenommen wurde, sollten die Einträge stimmen. Prüfen Sie diese 3 Zeilen zu Beginn des Programmes:
 Josef Braun
 <pre>
-Josef Braun
+#DENYHOSTS_BIN = "/usr/bin/denyhosts.py"
-Josef Braun
+DENYHOSTS_BIN = "/usr/local/bin/denyhosts.py"
-Josef Braun
+#DENYHOSTS_LOCK = "/var/lock/subsys/denyhosts"
-Josef Braun
+DENYHOSTS_LOCK = "/var/run/denyhosts.pid"
-Josef Braun
+DENYHOSTS_CFG = "/usr/share/denyhosts/denyhosts.cfg"
 </pre>
-Josef Braun
+Zusätzlich ist für OpenSUSE in der ersten leeren Zeile der folgende Block einzufügen (Vermeidung des insserv-Fehlers):
 <pre>
 ### BEGIN INIT INFO
 # Provides:          denyhosts
 # Required-Start: $network $remote_fs
 # Required-Stop: $network $remote_fs
 # Default-Start: 3 5
 # Default-Stop: 0 1 2 6
 # Description: Start the denyhosts  daemon
 ### END INIT INFO
 </pre>
-Josef Braun
+Nun muss auch dieses Programm noch umbenannt werden:
 <pre>
 mv daemon-control-dist daemon-control
 Josef Braun
 # bzw.
 cp daemon-control-dist daemon-control
-Josef Braun
+</pre>
 h2. Aktivieren
 Starten Sie nun das Programm:
 <pre>
-Josef Braun
+/usr/share/denyhosts/daemon-control start
-Josef Braun
+</pre>
 Der erste Start nimmt je nach grösse Der ssh-Logdatei einige Zeit in Anspruch. Sie sollten aber nach einiger Zeit die Shell-Eingabeaufforderung wieder sehen. DenyHosts loggt alle Aktivitäten in ein Logfile, normalerweise /var/log/denyhosts
 Beim ersten Start wird die ssh-Logdatei vollständig analysiert und auch vergangene SSH-Attacken werden registriert und die IPs erkannt. Nun können Sie in der DenyHost Logdatei, sowie in der Datei /etc/hosts.deny IPs sehen, die geblockt werden (sofern Ihr System schon SSH-Attacken hinter sich hat).
 http://www.server-wissen.de/sicherheit-und-absicherung-von-server/linux-serverabsicherung/39-ssh-attacken-mit-denyhosts-abwehren/
 h2. Automatisieren
-Josef Braun
+im Ordner /etc/init.d und /usr/bin einen Symlink erstellen (nur einzelne Zeilen kopieren und einfügen)
-Josef Braun
+<pre>
 ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts
 ln -s /usr/share/denyhosts/daemon-control /usr/bin/rcdenyhosts
 </pre>
-Josef Braun
+oder zum Kopieren
 <pre>
 ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts && ln -s /usr/share/denyhosts/daemon-control /usr/bin/rcdenyhosts
 </pre>
 Josef Braun
 Josef Braun
-Josef Braun
+und die entsprechenden Runlevel erzeugen
 Josef Braun
 entweder als
 <pre>
 insserv denyhosts
 </pre>
 oder über
-Josef Braun
+<pre>
 ln -s /etc/init.d/denyhosts /etc/init.d/rc3.d/S09denyhosts
 ln -s /etc/init.d/denyhosts /etc/init.d/rc3.d/K02denyhosts
 ln -s /etc/init.d/denyhosts /etc/init.d/rc5.d/S09denyhosts
 ln -s /etc/init.d/denyhosts /etc/init.d/rc5.d/K02denyhosts
 </pre>
-Josef Braun
+oder zum Kopieren
 <pre>
 ln -s /etc/init.d/denyhosts /etc/init.d/rc3.d/S09denyhosts && ln -s /etc/init.d/denyhosts /etc/init.d/rc3.d/K02denyhosts && ln -s /etc/init.d/denyhosts /etc/init.d/rc5.d/S09denyhosts && ln -s /etc/init.d/denyhosts /etc/init.d/rc5.d/K02denyhosts
 </pre>
 Josef Braun
 Josef Braun
-Josef Braun
+h2. Alternativ: DenyHosts mit cron starten
 Presumably, you will need to run DenyHosts as root (in order for DenyHosts to update /etc/hosts.deny and read entries from /var/log), so you first must become root. Once you have either logged in as root (or used su - root, for instance) you can then run the following command:
 # crontab -e
 The above command will launch the crontab editor. To launch DenyHosts every 20 minutes you would then add the following line to the crontab:
 <pre>
 ,20,40 * * * * python PATH_TO_DENYHOSTS/denyhosts.py -c PATH_TO_DENYHOSTS_CONFIG/denyhosts.cfg
 </pre>
 You will need to substitute your site-specific paths above. As an example, if you installed DenyHosts in /usr/local/etc and maintain your configuration file there as well, then the following crontab entry would be appropriate:
 <pre>
 ,20,40 * * * * python /usr/local/bin/denyhosts.py -c /usr/local/etc/denyhosts/denyhosts.cfg
 </pre>
 Once you have edited the crontab you should then save it. Assuming you didn't make any errors, the crontab will automatically install itself.
-Josef Braun
+For more information regarding the crontab format please see the crontab man page (man 5 crontab).
 Josef Braun
 h2. Hilfe über die FAQ
 zu finden auf http://www.denyhosts.net/faq.html
 Josef Braun
-Josef Braun
+u.a. auch DenyHosts Frequently Asked Questions
 How can I prevent a legitimate IP address from being blocked by DenyHosts? http://denyhosts.sourceforge.net/faq.html#3_7

Projekt

Allgemein

Profil

Kunterbunt

Absichern mit denyHosts » Historie » Version 10