Brute Force Angriffe mit DenyHosts abwehren

Tags: FreeBSD, Python, SSH, Security, Unix


Viele Systemadministratoren kennen bestimmt das Problem, dass sehr viele Brute Force Angriffe gegen die eigenen Server laufen. Systematisch werden Logins mit den ueblichen Benutzernamen bzw. Passwoertern per SSH versucht.



Genau hier hilft DenyHosts. Es handelt sich hierbei um einen kleinen Daemon, welcher permanent die Datei /var/auth.log liest und bei mehrmaligen fehlgeschlagenen Login Versuchen die IP per /etc/hosts.allow blockt. Das Prinzip ist nicht neu, es gibt z.B. auch andere Tools, welche die gleiche Funktionalitaet z.B. per iptables loesen.

Das ist aber noch nicht alles, man kann den Daemon auch so einstellen, dass der die gefundenen IPs der globalen Datenbank von DenyHosts meldet. Im Gegenzug kann auch die Datenbank verwendet werden um die Hosts Datei zu fuettern. Seit dem ich das Tool auf meinen Servern installiert habe, haben die Angriffe fast aufgehoert bzw. es wurden fast alle sofort geblockt.

Die Konfiguration ist denkbar einfach. Nachdem die Software installiert ist, muss als erstes die Datei denyhosts.conf angepasst werden. Die Konfigurationsdatei ist ziemlich selbsterklaerend. Danach kann auch schon der Daemon gestartet werden. Dank der Ports Collection von FreeBSD war das Startscript bereits vorhanden. Der Daemon schreibt seine Eintraege dann ueblicherweise in die Datei /etc/hosts.deniedssh, welche nur noch in die Datei /etc/hosts.allow eingebunden werden muss mit... Danach ist das komplette System fertig konfiguriert und das System blockt automatisch SSH Anfragen von IPs, welche in der Datenbank von DenyHosts gelistet sind.

19. September, 2008

Kommentare

Ich mach das lieber mit fail2ban - fail2ban prüft das Logfile und sperrt nach definierten Regeln (5 falsche login-Versuche via SSH) den "bösen" Rechner

22. November, 2008, von der Wayne

 

Kommentar hinzufügen