DenyHosts
DenyHosts ist eine Utility um Systemadministratoren gegen SSH-Angreifern zu helfen
Download für openSUSE:
Hersteller: Phil Schwartz
Lizenz: GPLv2
Webseite: http://denyhosts.sourceforge.net
Inhaltsverzeichnis
Features und Dokumentation
Wenn Sie jemals in Ihre SSH-Logs (/var/log/messages, /var/log/warn, etc...) gesehen haben, können Sie beunruhigt sein zu sehen, wie viele Hacker versuchten Zugang zu Ihrem Server zu erhalten. Hoffentlich war keiner von denen erfolgreich (dann aber wieder, woher würden Sie das wissen?). Wär es nicht besser automatisch zu verhindern, dass Angreifer weiterhin versuchen Beitritt in Ihr System zu erlangen?
DenyHosts versucht das oben erwähnte... zu adressieren und mehr:
- Analysiert /var/log/messages um alle Login-Versuche zu finden und filtert Fehlversuche und erfolgreiche Anläufe.
- Der Synchronisations-Modus ermöglicht DenyHosts-Daemons die Fähigkeit Daten über einen zentralen Server gemeinsam zu nutzen um vorausschauend gegen Attacken geschützt zu sein.
- Kann von der CLI aus, über cron oder als Daemon laufen gelassen werden.
- Speichert alle fehlgeschlagenen Login-Versuche für den Benutzer und den verletzenden Host.
- Jeder Host, der einen Grenzwert überschreitet, wird als böser Host registriert.
- Behält jeden nicht-existierenden Benutzer (z.B. sdadasd) im Auge, wenn ein Login-Versuch fehlschlägt.
- Behält jeden vorhandenen Benutzer (z.B. root) im Auge, wenn ein Login-Versuch fehlschlägt.
- Behält jeden verletzenden Host im Auge (diese Hosts können gelöscht werden, wenn der dazugehörige Eintrag in /etc/hosts.deny abgelaufen ist).
- Beobachtet verdächtige Logins (wenn Logins auf einem Host erfolgreich waren, es aber viele Fehlschläge bei Anmeldungen gab)
- Beobachtet das Datei-Offset, so dass man weiterhin die gleiche Datei (var/log/messages) neu analysieren kann (bis es sich gedreht hat).
- Wenn das Logfile rund gelaufen ist, wird das Skript das erfassen und vom Anfang an wieder analysieren.
- Hängt /etc/hosts.deny an und fügt die neu gebannten Hosts hinzu.
- Sendet optional eine E-Mail über die neu gebannten Hosts und verdächtige Logins.
- Führt eine Historie aller Benutzer, Hosts, Benutzer/Host-Kombinationen und verdächtige Anmeldungen, die angetroffen werden und die Daten und Anzahl der dazugehörigen fehlgeschlagenen Login-Versuche beinhalten.
- Führt fehlgeschlagene gültige und ungültige Benutzer-Loginversuche in seperaten Dateien, so dass es einfach ist zu sehen, welcher gültige Benutzer angegriffen wird (was Ihnen die Gelegenheit gibt den Account zu löschen, das Passwort zu ändern oder seine Standard-Shell zu etwas wie sbin/nologin zu ändern.
- Nach jedem Durchlauf wird das Skript die bisher gespeicherten Daten laden und wieder verwenden um neue Fehlschläge hinzuzufügen.
- Löst IP-Adressen in Hostnamen auf, wenn verfügbar (neu in v0.6.0).
- Einträge in /etc/hosts.deny können zu einer Benutzer definierten Zeit außer Kraft gesetzt werden (neu in 0.8).
Bitte schauen Sie für weitere Details in das FAQ.
Installation und Konfiguration von DenyHosts
Das Tool DenyHosts ist in diesen Repositories vorhanden:
Sie müssen dieses Repository in Yast hinzufügen und es dann installieren mit
sudo zypper in denyhosts