Andreas Wittig » SSH

Brute-Force-Angriffe auf SSH abwehren

Andreas Wittig — Sat, 08 Aug 2009 10:19:04 +0000

Auf heise bin ich über einen interessanten Artikel gestolpert. Dort werden drei verschiedene Möglichkeiten erklärt, wie man Brute-Force-Angriffe auf SSH und andere Dienste verhindern kann. Bei einem Brute-Force-Angriff wird versucht ein Passwort und meist auch den Benutzernamen durch probieren zu erraten. So einen Angriff kann man abwehren, indem man nach einer bestimmten Anzahl von Fehlversuchen weitere Anmeldeversuche unterbindet.

Mit denyhosts, dass in den Ubuntu-Quellen enthalten ist, kann man Brute-Force-Angriffe verhindern. Installieren kann man den Dienst wie gewohnt über:
aptidute install denyhosts

denyhosts überprüft ständig die Einträge in /var/log/auth.log. Dort werden alle Anmeldeversuche über SSH protokolliert. Wenn ein Angreifer nun versucht durch Probieren Zugangsdaten zu erraten, so setzt denyhosts ihn nach einigen Fehlversuchen auf die Sperrliste unter /etc/hosts.deny. Dadurch werden weitere Verbindungen zwischen der IP-Adresse des Angreifers und dem Server unterbunden. Über die Datei /etc/denyhosts.conf noch genaue Einstellungen vornehmen. Hier kann man zum Beispiel einstellen, nach wievielen Fehlversuchen gesperrt werden soll. Nach Änderungen an der Konfiguration sollte man den Dienst neustarten:
/etc/init.d/denyhosts restart

denyhosts bietet keine 100%ige Sicherheit vor Brute-Force-Angriffen. Denn solch ein Angriff kann natürlich auch verteilt von 1.000enden Rechner erfolgen. Dennoch erschwert denyhosts solch einen Angriff enorm und sollte daher auf keinem Server mit offenem SSH fehlen.

Photo: eriwst, Creative Commons

Günstige Backuplösung

Andreas Wittig — Wed, 04 Apr 2007 11:18:30 +0000

Nicht nur auf meinem Mail- und Webserver auch auf meinem PC gibt es einige Daten, die ich unter keinen Umständen verlieren möchte. Ich habe mich daher in letzter Zeit nach einer günstigen, sicheren und sinnvollen Backuplösung umgeschaut. Wichtig war mir, dass meine Backups verschlüsselt übertragen werden und wenn möglich auch verschlüsselt gelagert werden. Ich machte mich daher auf die Suche nach einem Webspace mit SSH-Zugang. Da in Deutschland Webspace recht teuer ist, habe ich mich auch nach Angeboten in anderen Ländern umgesehen und bin dabei auf hostmonster.com gestoßen. Dort bekommt man für 5,95 $ im Monat 200 GB Webspace mit 2.000 GB Traffic pro Monat. Ein SSH-Zugang ist ebenso enthalten wie eine kostenlose Domain. Unglaublich! Aber Angebote dieser Art findet man in den USA häufig.

Erfahrung mit Hostmonster
Nachdem ich das Angebot bestellt hatte, konnte ich schon nach 30 Minuten auf meinem Webspace und meine Domain zugreifen. Den SSH-Zugang musste man erst noch freischalten lassen, was nochmal ungefähr 2 Stunden dauerte. Positiv war ich vom Support via Chat überrascht. Dort wurden meine anfänglichen Fragen schnell und kompetent beantwortet. Seitdem nutze ich meinen Backupspace und hatte bisher keinerlei Aufälle.

Backup übertragen und verschlüsseln
Meine Backups übertrage ich gpg-verschlüsselt per SSH. Das ist meiner Meinung nach eine sinnvolle und sichere Lösung. Mein Script dazu sieht so aus:
#!/bin/bash DATUM=$(date '+%Y-%m-%d')

tar cvf - /ordner/ | /usr/bin/gpg --symmetric --no-tty --passphrase-file "/ordner/gpg-passphrase" | ssh user@domain.net -p 22 "cat > /home/user/backup-$DATUM.tar.gpg"

Damit werden meine Daten gepackt, verschlüsselt und gleich per SSH auf den Webspace übertragen.

Bisher bin ich mit dieser Lösung 100%ig zufrieden und kann sie nur weiterempfehlen.

SSH – Verbindung aufrecht halten

Andreas Wittig — Sat, 10 Mar 2007 18:21:30 +0000

Wer über SSH auf einem anderen Rechner arbeitet kennt das Problem, dass die Verbindung z.B. von Routern nach einer bestimmten Zeit geschlossen werden. Abhilfe schafft hier die Option “ServerAliveInterval”.

In der Datei .ssh/config kann für jeden Host ein Intervall in Sekunden angegeben, in dem der Client Signale an den Server sendet um die Verbindung aufrecht zu erhalten. Könnte evtl. so aussehen:

Host server HostName xx.xx.xx.xx User username Port 2221 ServerAliveInterval 120

SSH – Es geht auch komfortabel!

Andreas Wittig — Wed, 31 Jan 2007 14:58:38 +0000

Wer sich öfters über SSH auf verschiedenen Rechner einloggt hat ganz schön was zu schreiben. Jedesmal muss der Befehl ssh user@rechner -p xxxx eingegeben werden. Da verliert man schnell den Überblick und vertippt sich leicht.

Aber SSH bietet eine ganz einfache Möglichkeit diese Tipparbeit einzusparen. Man muss einfach nur die Datei ~/.ssh/config verändern. Dort kann man dann z.B. folgendes eintragen:
Host serv HostName 85.23.22.27 User testuser Port 2244

Und ab sofort reicht der Befehl ssh serv um sich auf dem Rechner mit Username testuser einzuloggen. Wer jetzt noch statt Passwörtern Zertifikate verwendet muss bald gar nichts mehr eingeben.

(via linuxserverforum.de)

Tar über SSH auf anderem Rechner erstellen

Andreas Wittig — Tue, 10 Oct 2006 15:56:00 +0000

Um ein Backup von meinem Server zu erstellen habe ich alle wichtigen Dateien in ein Tar-File gepackt und dieses per SSH auf einen Backup-Server geschoben. Das Problem war immer, dass das Tar-File auf meinem Server recht viel Platz eingenommen hat, den ich auf meinem vServer nur schwer entbehren konnte. Daher habe ich mich nach einer Lösung umgesehen dieses Tar-File direkt auf einem Backup-Server zu erstellen. Und tatsächlich ist so etwas ganz einfach möglich:

tar cvf - /ordner | ssh user@backupserver "cat > backup.tg"

Mehr dazu unter: oreilly.de