Kunterbunt

{{>toc}}

h1. Absichern mit denyHosts

SSH Attacken mit denyhosts abwehren

SSH - Secure Shell

Über ssh werden alle Daten verschlüsselt übertragen, von daher ist es zur Konfiguration und Wartung eines Root-Servers eine beliebte Shell. Passwörter und Eingaben können nicht oder nur sehr schwer entschlüsselt werden … und wenn, dann dauert es Jahre. Ein beliebter Sport ist es, den ssh-Zugang mit Anfragen zu bombadieren, User herauszufinden und Passwörter zu hacken. Dabei werden Listen von Usern durchgegangen, die mit einer weiteren Liste von Passwörter abgefragt werden. Meist sind es aber Service-Accounts, die kein Passwort hinterlegt haben, aber dennoch einen ssh-Zugang zulassen.

Grundsätzlich sollte in der /etc/passwd kein Account mit einer Shell hinterlegt sein, ausser denen, die auch benutzt werden. Selten arbeiten Systemadministratoren z.B. mit den Accounts mysql, wwwrun, news, named oder ähnlichen. Bei diesen sollte folgende Einstellung gemacht werden:

In der Datei /etc/passwd

<pre>

mysql:x:60:103:MySQL database admin:/var/lib/mysql:/bin/false

</pre>

false hinterlegt keine Shell sondern loggt einen Anwender sofort wieder aus. In manchen Distributionen (z.B. SuSE) steht hier bash, welches die Shelloberfläche ist. Hat der Account mysql kein Passwort hinterlegt und eine bash als Oberfläche, so steht einem Login nichts im Wege. Nun können Eindringlinge zwar mit dem Account mysql arbeiten. Also sollten solche Service-Accounts immer mit false konfiguriert sein.

SSH-Angriffe aktiv abwehren

h2. DenyHosts herunterladen

Hier wird beschrieben, wie der SSH-Zugang mit dem Tool DenyHosts (http://denyhosts.sourceforge.net/index.html) abgesichert wird.

Dieses Tool ist ein Zusatzprogramm, welches die Logfiles der SSH-Programme überwacht und IPs, die sich mehr als 5 mal (frei wählbar) falsch angemeldet haben, in die /etc/hosts.deny eintragen. IPs, die in dieser Datei stehen, werden dann entweder für einen bestimmten Service (ssh) oder für den gesamten Zugang geblockt.

h2. Tests, ob der Server überhaupt geeignet für DenyHosts ist

# Als Root auf dem Server anmelden

# In der Datei /etc/hosts.deny ergänzen und dann abspeichern:

<pre>

sshd: 127.0.0.1

</pre>

# vom Server aus einen ssh-Zugriff auf localhost durchführen

<pre>

ssh localhost

</pre>

# Es sollte folgende Fehlermeldugn erscheinen:

<pre>

 ssh_exchange_identification: Connection closed by remote host

</pre>

# wenn diese Meldung erscheint, dann wurde ssh mit tcp_wrappers kompiliert, wenn ein normaler Zugriff m,öglich war, dann war der Server ohne tcp_wrapper kompiliert

# Aus der Datei /etc/hosts die oben ein gegebene Zeile wieder entfernen und abspeichern

h2. Installation

Voraussetzung ist, dass python auf dem Server installiert ist. Laden Sie sich das Programm herunter und entpacken es. Danach wechseln Sie in das entpackte Verzeichnis und installieren das Programm mit dem Befehl:

<pre>

 python setup.py install 

</pre>

Dieses Tool nimmt sämtliche Kopiervorgänge vor.

h2. Konfiguration

Einen Symbolic Link ins etc Verzeichnis legen

<pre>

ln -s /usr/share/denyhosts /etc/denyhosts

</pre>

Wechseln Sie in das Verzeichnis /usr/share/denyhosts

Hier liegt die Konfigurationsdatei sowie das Programm daemon-control, der das Tool startet, beendet oder restartet.

Bearbeiten Sie nun die Datei denyhosts.cfg-dist: Passen Sie mindestens folgende Einträge auf Ihr System an:

<pre>

SECURE_LOG = /var/log/messages

HOSTS_DENY = /etc/hosts.deny

</pre>

Falls Sie über alle Block-Vorgänge per email unterrichtet werden möchten, gibt es den Bereich ADMIN_EMAIL. Hier können Sie Ihre email-Adresse hinterlegen, dann werden Sie bei jedem Eintrag in die hosts.deny darüber unterrichtet. Lassen Sie dieses Feld leer, bekommen Sie auch keine email.

Danach benennen Sie die Datei um:

<pre>

mv denyhosts.cfg-dist denyhosts.cfg

# bzw. 

cp denyhosts.cfg-dist denyhosts.cfg

</pre>

Nun muss das Dämon-Kontrollprogramm (daemon-control-dist) angepasst werden. Falls die Installation per setup.py vorgenommen wurde, sollten die Einträge stimmen. Prüfen Sie diese 3 Zeilen zu Beginn des Programmes:

<pre>

DENYHOSTS_BIN = "/usr/local/bin/denyhosts.py"

DENYHOSTS_LOCK = "/var/lock/subsys/denyhosts"

DENYHOSTS_LOCK = "/var/run/denyhosts.pid"

DENYHOSTS_CFG = "/usr/share/denyhosts/denyhosts.cfg"

</pre>

Zusätzlich ist für OpenSUSE in der ersten leeren Zeile der folgende Block einzufügen (Vermeidung des insserv-Fehlers):

<pre>

### BEGIN INIT INFO

# Provides:          denyhosts

# Required-Start: $network $remote_fs

# Required-Stop: $network $remote_fs

# Default-Start: 3 5

# Default-Stop: 0 1 2 6

# Description: Start the denyhosts  daemon

### END INIT INFO

</pre>

Nun muss auch dieses Programm noch umbenannt werden:

<pre>

mv daemon-control-dist daemon-control

# bzw.

cp daemon-control-dist daemon-control

</pre>

h2. Aktivieren

Starten Sie nun das Programm:

<pre>

/usr/share/denyhosts/daemon-control start

</pre>

Der erste Start nimmt je nach grösse Der ssh-Logdatei einige Zeit in Anspruch. Sie sollten aber nach einiger Zeit die Shell-Eingabeaufforderung wieder sehen. DenyHosts loggt alle Aktivitäten in ein Logfile, normalerweise /var/log/denyhosts

Beim ersten Start wird die ssh-Logdatei vollständig analysiert und auch vergangene SSH-Attacken werden registriert und die IPs erkannt. Nun können Sie in der DenyHost Logdatei, sowie in der Datei /etc/hosts.deny IPs sehen, die geblockt werden (sofern Ihr System schon SSH-Attacken hinter sich hat).

http://www.server-wissen.de/sicherheit-und-absicherung-von-server/linux-serverabsicherung/39-ssh-attacken-mit-denyhosts-abwehren/

h2. Automatisieren

im Ordner /etc/init.d und /usr/bin einen Symlink erstellen (nur einzelne Zeilen kopieren und einfügen)

<pre>

ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts

ln -s /usr/share/denyhosts/daemon-control /usr/bin/rcdenyhosts

</pre>

oder zum Kopieren 

<pre>

ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts && ln -s /usr/share/denyhosts/daemon-control /usr/bin/rcdenyhosts

</pre>

und die entsprechenden Runlevel erzeugen

<pre>

ln -s /etc/init.d/denyhosts /etc/init.d/rc3.d/S09denyhosts

ln -s /etc/init.d/denyhosts /etc/init.d/rc3.d/K02denyhosts

ln -s /etc/init.d/denyhosts /etc/init.d/rc5.d/S09denyhosts

ln -s /etc/init.d/denyhosts /etc/init.d/rc5.d/K02denyhosts

</pre>

oder zum Kopieren

<pre>

ln -s /etc/init.d/denyhosts /etc/init.d/rc3.d/S09denyhosts && ln -s /etc/init.d/denyhosts /etc/init.d/rc3.d/K02denyhosts && ln -s /etc/init.d/denyhosts /etc/init.d/rc5.d/S09denyhosts && ln -s /etc/init.d/denyhosts /etc/init.d/rc5.d/K02denyhosts

</pre>

h2. Alternativ: DenyHosts mit cron starten

Presumably, you will need to run DenyHosts as root (in order for DenyHosts to update /etc/hosts.deny and read entries from /var/log), so you first must become root. Once you have either logged in as root (or used su - root, for instance) you can then run the following command:

# crontab -e

The above command will launch the crontab editor. To launch DenyHosts every 20 minutes you would then add the following line to the crontab:

<pre>

0,20,40 * * * * python PATH_TO_DENYHOSTS/denyhosts.py -c PATH_TO_DENYHOSTS_CONFIG/denyhosts.cfg

</pre>

You will need to substitute your site-specific paths above. As an example, if you installed DenyHosts in /usr/local/etc and maintain your configuration file there as well, then the following crontab entry would be appropriate:

<pre>

0,20,40 * * * * python /usr/local/bin/denyhosts.py -c /usr/local/etc/denyhosts/denyhosts.cfg

</pre>

Once you have edited the crontab you should then save it. Assuming you didn't make any errors, the crontab will automatically install itself.

For more information regarding the crontab format please see the crontab man page (man 5 crontab).