Tipps für ein noch sichereres Linux

Falls Ihr solche Zeilen findet in euren Log-Files:

May 28 06:25:03 server sshd[6626]: Invalid user manele from ::ffff:219.239.88.228
May 28 06:25:06 server sshd[6639]: Invalid user smith from ::ffff:219.239.88.228
May 28 06:25:10 server sshd[6641]: Invalid user smiley from ::ffff:219.239.88.228
May 28 06:25:14 server sshd[6644]: Invalid user force from ::ffff:219.239.88.228
May 28 06:25:17 server sshd[6646]: Invalid user city from ::ffff:219.239.88.228
May 28 06:25:21 server sshd[6648]: Invalid user contry from ::ffff:219.239.88.228
May 28 06:25:25 server sshd[6650]: Invalid user vritney from ::ffff:219.239.88.228
May 28 06:25:28 server sshd[6652]: Invalid user jenna from ::ffff:219.239.88.228
May 28 06:25:32 server sshd[6654]: Invalid user track from ::ffff:219.239.88.228
May 28 06:25:36 server sshd[6657]: Invalid user webserver from ::ffff:219.239.88.228

...greifen wir zu einem sehr effizienten Mittel.

Wir können mit folgendem Befehl erstmal nachsehen, wieviele Angriffe im aktuellen Logfile überhaupt verzeichnet sind. Dazu dient unter SuSe:

grep sshd /var/log/messages | grep -i "invalid user" | awk '{print $NF}' | sort|uniq -c|sort -n

...und unter Debian sowie anderen Distris:

grep sshd /var/log/auth.log | grep -i "invalid user" | awk '{print $NF}' | sort|uniq -c|sort -n

Dies gibt uns die Anzahl der über sshd laufenden und fehlgeschlagenen Anmeldeversuche.

Damit das Ganze funktioniert muss Python installiert sein.

Nun laden wir das Pyton-Script von www.aczoom.com/cms/blockhosts herunter. Aktuelle Version z.Z. ist Version 2.4.0 und packen es aus. Wir wechseln in das neu erstellte Verzeichnis und starten das Installations-Script als root oder mit sudo und dem Befehl

python ./setup.py install

Jetzt muss die Datei /etc/blockhosts.cfg bearbeitet werden.

sudo nano /etc/blockhosts.cfg

Dort entfernen wir das # in der Zeile

#LOGFILES = [ "/var/log/auth.log", ]

Bei SuSe

#LOGFILES = [ "/var/log/messages", ]

Weiter muss die Datei /etc/hosts.allow bearbeitet werden. Ganz am Ende der Datei fügen wir folgende Zeilen ein:

#---- BlockHosts Additions
#---- BlockHosts Additions
sshd : ALL: spawn /usr/bin/blockhosts.py & : allow

Achten auf richtige Schreibweise oder am besten Copy & Pasten

Jetzt könen wir unsere Arbeit testen mit:

blockhosts.py --dry-run --verbose

Es sollte sowas wie:

server:~ # blockhosts.py --dry-run --verbose
blockhosts 2.4.0 started: 2008-06-09 08:34:59 CEST
... loaded /etc/hosts.allow, starting counts: blocked 5, watched 5
... loading log file /var/log/messages, offset: 3065618
... discarding all host entries older than 2008-06-08 20:34:59 CEST
... final counts: blocked 5, watched 5
#---- BlockHosts Additions
ALL: 203.199.9.31 : deny
ALL: 83.15.43.234 : deny
ALL: 202.152.185.85 : deny
ALL: 200.118.110.91 : deny
ALL: 88.119.144.14 : deny

#bh: ip: 203.199.9.31 : 5 : 2008-06-09 08:29:24 CEST
#bh: ip: 83.15.43.234 : 16 : 2008-06-09 08:19:05 CEST
#bh: ip: 202.152.185.85 : 634 : 2008-06-09 05:50:35 CEST
#bh: ip: 200.118.110.91 : 7d6 : 2008-06-08 21:48:19 CEST
#bh: ip: 88.119.144.14 : 1246 : 2008-06-08 21:19:09 CEST

#bh: logfile: /var/log/messages
#bh: offset: 3066345
#bh: first line:May 28 04:16:21 server syslogd 1.4.1: restart.

#---- BlockHosts Additions
sshd : ALL: spawn /usr/bin/blockhosts.py & : allow

...erscheinen

Wenn alles in Ordnung ist starten wir:

blockhosts.py --verbose

In der /etc/hosts.allow werden nun die gesperten IP-Adressen gelistet und bei jedem neuen Login überwacht und gegebenenfalls nach 12 Stunden automatisch wieder entfernt. Sollten wir uns also selber mal aussperren heisst es einfach warten.

Viel Spass