• Inhaltsverzeichnis
• Absichern mit denyHosts
  • DenyHosts herunterladen
  • Tests, ob der Server überhaupt geeignet für DenyHosts ist
  • Installation
  • Konfiguration
  • Aktivieren
  • Automatisieren
  • Alternativ: DenyHosts mit cron starten
  • Hilfe über die FAQ

Absichern mit denyHosts¶

SSH Attacken mit denyhosts abwehren
SSH - Secure Shell

Über ssh werden alle Daten verschlüsselt übertragen, von daher ist es zur Konfiguration und Wartung eines Root-Servers eine beliebte Shell. Passwörter und Eingaben können nicht oder nur sehr schwer entschlüsselt werden … und wenn, dann dauert es Jahre. Ein beliebter Sport ist es, den ssh-Zugang mit Anfragen zu bombadieren, User herauszufinden und Passwörter zu hacken. Dabei werden Listen von Usern durchgegangen, die mit einer weiteren Liste von Passwörter abgefragt werden. Meist sind es aber Service-Accounts, die kein Passwort hinterlegt haben, aber dennoch einen ssh-Zugang zulassen.

Grundsätzlich sollte in der /etc/passwd kein Account mit einer Shell hinterlegt sein, ausser denen, die auch benutzt werden. Selten arbeiten Systemadministratoren z.B. mit den Accounts mysql, wwwrun, news, named oder ähnlichen. Bei diesen sollte folgende Einstellung gemacht werden:

In der Datei /etc/passwd

mysql:x:60:103:MySQL database admin:/var/lib/mysql:/bin/false

false hinterlegt keine Shell sondern loggt einen Anwender sofort wieder aus. In manchen Distributionen (z.B. SuSE) steht hier bash, welches die Shelloberfläche ist. Hat der Account mysql kein Passwort hinterlegt und eine bash als Oberfläche, so steht einem Login nichts im Wege. Nun können Eindringlinge zwar mit dem Account mysql arbeiten. Also sollten solche Service-Accounts immer mit false konfiguriert sein.
SSH-Angriffe aktiv abwehren

DenyHosts herunterladen¶

Hier wird beschrieben, wie der SSH-Zugang mit dem Tool DenyHosts (http://denyhosts.sourceforge.net/index.html) abgesichert wird.

Dieses Tool ist ein Zusatzprogramm, welches die Logfiles der SSH-Programme überwacht und IPs, die sich mehr als 5 mal (frei wählbar) falsch angemeldet haben, in die /etc/hosts.deny eintragen. IPs, die in dieser Datei stehen, werden dann entweder für einen bestimmten Service (ssh) oder für den gesamten Zugang geblockt.

Tests, ob der Server überhaupt geeignet für DenyHosts ist¶

1. Als Root auf dem Server anmelden
2. In der Datei /etc/hosts.deny ergänzen und dann abspeichern:
   

   sshd: 127.0.0.1
   

3. vom Server aus einen ssh-Zugriff auf localhost durchführen
   

   ssh localhost
   

4. Es sollte folgende Fehlermeldugn erscheinen:
   

    ssh_exchange_identification: Connection closed by remote host
   

5. wenn diese Meldung erscheint, dann wurde ssh mit tcp_wrappers kompiliert, wenn ein normaler Zugriff m,öglich war, dann war der Server ohne tcp_wrapper kompiliert
6. Aus der Datei /etc/hosts die oben ein gegebene Zeile wieder entfernen und abspeichern

Installation¶

Voraussetzung ist, dass python auf dem Server installiert ist. Laden Sie sich das Programm herunter und entpacken es. Danach wechseln Sie in das entpackte Verzeichnis und installieren das Programm mit dem Befehl:

 python setup.py install 

Dieses Tool nimmt sämtliche Kopiervorgänge vor.

Konfiguration¶

Einen Symbolic Link ins etc Verzeichnis legen

ln -s /usr/share/denyhosts /etc/denyhosts

Wechseln Sie in das Verzeichnis /usr/share/denyhosts

Hier liegt die Konfigurationsdatei sowie das Programm daemon-control, der das Tool startet, beendet oder restartet.

Bearbeiten Sie nun die Datei denyhosts.cfg-dist: Passen Sie mindestens folgende Einträge auf Ihr System an:

SECURE_LOG = /var/log/messages
HOSTS_DENY = /etc/hosts.deny

Falls Sie über alle Block-Vorgänge per email unterrichtet werden möchten, gibt es den Bereich ADMIN_EMAIL. Hier können Sie Ihre email-Adresse hinterlegen, dann werden Sie bei jedem Eintrag in die hosts.deny darüber unterrichtet. Lassen Sie dieses Feld leer, bekommen Sie auch keine email.

Danach benennen Sie die Datei um:

mv denyhosts.cfg-dist denyhosts.cfg

# bzw. 
cp denyhosts.cfg-dist denyhosts.cfg

Nun muss das Dämon-Kontrollprogramm (daemon-control-dist) angepasst werden. Falls die Installation per setup.py vorgenommen wurde, sollten die Einträge stimmen. Prüfen Sie diese 3 Zeilen zu Beginn des Programmes:

#DENYHOSTS_BIN = "/usr/bin/denyhosts.py" 
DENYHOSTS_BIN = "/usr/local/bin/denyhosts.py" 
#DENYHOSTS_LOCK = "/var/lock/subsys/denyhosts" 
DENYHOSTS_LOCK = "/var/run/denyhosts.pid" 
DENYHOSTS_CFG = "/usr/share/denyhosts/denyhosts.cfg" 

Zusätzlich ist für OpenSUSE in der ersten leeren Zeile der folgende Block einzufügen (Vermeidung des insserv-Fehlers):

### BEGIN INIT INFO
# Provides:          denyhosts
# Required-Start: $network $remote_fs
# Required-Stop: $network $remote_fs
# Default-Start: 3 5
# Default-Stop: 0 1 2 6
# Description: Start the denyhosts  daemon
### END INIT INFO

Nun muss auch dieses Programm noch umbenannt werden:

mv daemon-control-dist daemon-control

# bzw.
cp daemon-control-dist daemon-control

Aktivieren¶

Starten Sie nun das Programm:

/usr/share/denyhosts/daemon-control start

Der erste Start nimmt je nach grösse Der ssh-Logdatei einige Zeit in Anspruch. Sie sollten aber nach einiger Zeit die Shell-Eingabeaufforderung wieder sehen. DenyHosts loggt alle Aktivitäten in ein Logfile, normalerweise /var/log/denyhosts

Beim ersten Start wird die ssh-Logdatei vollständig analysiert und auch vergangene SSH-Attacken werden registriert und die IPs erkannt. Nun können Sie in der DenyHost Logdatei, sowie in der Datei /etc/hosts.deny IPs sehen, die geblockt werden (sofern Ihr System schon SSH-Attacken hinter sich hat).

http://www.server-wissen.de/sicherheit-und-absicherung-von-server/linux-serverabsicherung/39-ssh-attacken-mit-denyhosts-abwehren/

Automatisieren¶

im Ordner /etc/init.d und /usr/bin einen Symlink erstellen (nur einzelne Zeilen kopieren und einfügen)

ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts
ln -s /usr/share/denyhosts/daemon-control /usr/bin/rcdenyhosts

oder zum Kopieren

ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts && ln -s /usr/share/denyhosts/daemon-control /usr/bin/rcdenyhosts

und die entsprechenden Runlevel erzeugen

entweder als

insserv denyhosts

oder über

ln -s /etc/init.d/denyhosts /etc/init.d/rc3.d/S09denyhosts
ln -s /etc/init.d/denyhosts /etc/init.d/rc3.d/K02denyhosts
ln -s /etc/init.d/denyhosts /etc/init.d/rc5.d/S09denyhosts
ln -s /etc/init.d/denyhosts /etc/init.d/rc5.d/K02denyhosts

oder zum Kopieren

ln -s /etc/init.d/denyhosts /etc/init.d/rc3.d/S09denyhosts && ln -s /etc/init.d/denyhosts /etc/init.d/rc3.d/K02denyhosts && ln -s /etc/init.d/denyhosts /etc/init.d/rc5.d/S09denyhosts && ln -s /etc/init.d/denyhosts /etc/init.d/rc5.d/K02denyhosts

Alternativ: DenyHosts mit cron starten¶

Presumably, you will need to run DenyHosts as root (in order for DenyHosts to update /etc/hosts.deny and read entries from /var/log), so you first must become root. Once you have either logged in as root (or used su - root, for instance) you can then run the following command:

1. crontab -e

The above command will launch the crontab editor. To launch DenyHosts every 20 minutes you would then add the following line to the crontab:

0,20,40 * * * * python PATH_TO_DENYHOSTS/denyhosts.py -c PATH_TO_DENYHOSTS_CONFIG/denyhosts.cfg

You will need to substitute your site-specific paths above. As an example, if you installed DenyHosts in /usr/local/etc and maintain your configuration file there as well, then the following crontab entry would be appropriate:

0,20,40 * * * * python /usr/local/bin/denyhosts.py -c /usr/local/etc/denyhosts/denyhosts.cfg

Once you have edited the crontab you should then save it. Assuming you didn't make any errors, the crontab will automatically install itself.

For more information regarding the crontab format please see the crontab man page (man 5 crontab).

Hilfe über die FAQ¶

zu finden auf http://www.denyhosts.net/faq.html
u.a. auch DenyHosts Frequently Asked Questions
How can I prevent a legitimate IP address from being blocked by DenyHosts? http://denyhosts.sourceforge.net/faq.html#3_7