Re: Angriff auf SSH

From: Marian Hettwer <MH(at)kernel32.de>
Date: Wed, 02 Nov 2005 12:26:18 +0100

Hallo Olli,

Oliver Fromme wrote:
> $ host 216.243.104.187
> 187.104.243.216.IN-ADDR.ARPA domain name pointer 216-243-104-187.lobo.net
> $ host 216-243-104-187.lobo.net
> Host not found.
>
> Da der sshd in dem Fall die Verbindung sofort wieder kappt,
Die Meldungen treten auch auf, wenn VerifyReverseMapping nicht in der
sshd_config ist. Hm. Entweder heisst das, daß VerifyReverseMapping
default maessig an ist, und daher der Parameter in meiner sshd_config
nicht vorhanden ist, oder aber die Logmeldungen treten auch auf, wenn
entsprechender Parameter nicht gesetzt.
Egal. Auf jeden Fall kappt der sshd die Verbindung nicht, falls die
Logmeldung auftaucht.
Bei mir selbst ist es leider häufiger der Fall, dass ich mit nem
kaputten Reverse Lookup durchs internet geister und mich auf einige
entfernte Server verbinde.
Ergebnis, eine Logmeldung vom format da oben, aber der sshd kappt die
Verbindung nicht.

> besteht keine Gefahr. Der Angreifer kommt nicht einmal bis
> zum Login- oder Paßwort-Prompt, kann also auch keinen Wör-
> terbuchangriff o.ä. durchführen.
>
hhmm.... siehe oben. Oder hab ich da was falsch verstanden? ;)

> Falls Du den administrativen ssh-Login nur von bestimmten
> IP-Adressen (oder IP-Ranges) aus benötigst, wäre es evtl.
> eine Überlegung wert, nur diese IPs für Port 22 freizu-
> schalten (per IPFW oder PF, oder auch zusätzlich per TCP-
> Wrapper hosts_access(5)). Dann hättest Du zumindest noch
> einen weiteren Riegel vor der Tür.
>
auch eine gute Idee. Leider sind in der Praxis feste IP Adressen zu oft
mangelware.

Beste Grüße,
Marian

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 02 Nov 2005 - 12:27:12 CET

search this site