Re: Sinnvoll fail2ban und SSH-pubkey Authentifizierung kombinieren?

[Martin Steigerwald <Martin@lichtvoll.de>]

Am Freitag, 1. Juni 2012 schrieb Frank Lanitz:
> Hallo,

Hallo Frank,

> Ich suche mal nach Eurer Meinung: Ist es sinnvoll, den SSH-Login nur
> über Publickey zu erlauben und zusätzlich noch fail2ban (oder
> ähnliches) zu nutzen?

Ich nutze seit Jahren PermitRootLogin without-password sowie einen
anderen Port. Der andere Port dient nicht für die Sicherheit, jedoch um
mit einfachen Mitteln das Logspamming zu unterbinden:

mondschein:~> zgrep -i fail /var/log/auth.log* | grep ssh
/var/log/auth.log:Jun  1 12:40:58 mondschein sshd[17375]: Failed none for root from IP1 port 53151 ssh2
/var/log/auth.log:Jun  1 12:41:32 mondschein sshd[17395]: Failed none for root from IP1 port 53152 ssh2
/var/log/auth.log:Jun  1 12:41:36 mondschein sshd[17395]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ppp-IP1.dynamic.mnet-
online.de  user=root
/var/log/auth.log:Jun  1 12:41:38 mondschein sshd[17395]: Failed password for root from IP1 port 53152 ssh2
/var/log/auth.log:Jun  1 12:41:41 mondschein sshd[17395]: Failed password for root from IP1 port 53152 ssh2
/var/log/auth.log:Jun  1 12:41:42 mondschein sshd[17395]: Failed password for root from IP1 port 53152 ssh2
/var/log/auth.log:Jun  1 12:41:42 mondschein sshd[17395]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ppp-IP1.dynamic.mnet-online.de  
user=root
/var/log/auth.log:Jun  1 12:41:45 mondschein sshd[17397]: Failed none for root from IP1 port 53153 ssh2
/var/log/auth.log.1:May 21 10:36:24 mondschein sshd[7994]: Failed none for root from IP2 port 42166 ssh2
/var/log/auth.log.1:May 22 10:40:48 mondschein sshd[22513]: Failed none for root from IP2 port 5009 ssh2
/var/log/auth.log.1:May 23 15:43:12 mondschein sshd[7592]: Failed none for root from IP2 port 15015 ssh2
/var/log/auth.log.1:May 23 16:03:47 mondschein sshd[7793]: Failed none for root from IP2 port 17926 ssh2
/var/log/auth.log.1:May 24 09:54:29 mondschein sshd[18497]: Failed none for root from IP2 port 14259 ssh2
/var/log/auth.log.1:May 24 16:02:08 mondschein sshd[28360]: Failed none for root from IP2 port 55109 ssh2
/var/log/auth.log.1:May 25 13:14:50 mondschein sshd[8924]: Failed none for root from IP2 port 30494 ssh2

Die Fehlversuche sind höchstwahrscheinlich von mir (beim ersten bin ich
mir sicher, das hab ich zum Testen gemacht):

mondschein:~> host IP1
IP1.in-addr.arpa domain name pointer ppp-IP1.dynamic.mnet-online.de.
mondschein:~> host IP2
IP2.in-addr.arpa domain name pointer ppp-IP2.qskills.de.


Interessant nur, dass ich die qskills.de-Geschichte an jedem Tag meiner
Schulung dort geschafft habe. Merkwürdig. Hab gar nicht in Erinnerung
so oft auf meienm Server was versucht zu haben.

Ansonsten hab ich da noch ein paar wohl Spammer, die als "webmaster",
"admin" oder "test" via saslauthd Mails über SMTP versenden möchten und
bereits an der Authentifizierung scheitern.

Da mir das also bisher sehr gut taugt, sehe ich für mich keinen Grund
fail2ban einzusetzen. Wichtiger wäre mal, für SSH auch die anderen
Benutzer auf nur mit Schlüssel authentifizieren umzustellen. Was ich
jetzt auch mal machen kann, nachdem da niemand mehr per SCP seine
Webseite draufkopieren müssen sollte. (Naja, offenbar liegt die immer
noch auf meinem Server. Nunja…)

fail2ban könnte mir allenfalls bei DDoS helfen, soweit ich das sehe.
Allerdings hat SSH selbst ja auch Wartezeiten.

Ciao,
-- 
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA  B82F 991B EAAC A599 84C7