nene .. Nicht was ihr schon wieder denkt 
ich meine den befehl "finger" aus dem terminal.
Könnt ihr mich aufklären was das ist?
-
Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
Näheres könnt Ihr hier nachlesen: AGB-Änderung -
Was gibt es Schöneres als den Mai draußen in der Natur mit allen Sinnen zu genießen? Lasst uns teilhaben an Euren Erlebnissen und macht mit beim Thema des Monats Da blüht uns was! ---> Klick
nene .. Nicht was ihr schon wieder denkt ich meine den befehl "finger" aus dem terminal.
Könnt ihr mich aufklären was das ist?
Hallo,
Finger liefert Informationen über die User die im System bzw. Netzwerk angemeldet sind.
grüße,
jürgen
Finger liefert Informationen über die User die im System bzw. Netzwerk angemeldet sind.
grüße,
jürgen
bezierkurve
Halberstädter Jungfernapfel
- Registriert
- 12.06.05
- Beiträge
- 3.860
Attacken? Das bei allem zuerst immer an etwas übles gedacht wird. Finger war und ist ein prima Dienst.
Moin genazvali,
und ein GUI dafür ist mit „/Programme/Dienstprogramme/Netzwerk-Dienstprogramm“ auch gleich dabei.
Gruss KayHH
und ein GUI dafür ist mit „/Programme/Dienstprogramme/Netzwerk-Dienstprogramm“ auch gleich dabei.
Gruss KayHH
Cyrics
Neuer Berner Rosenapfel
- Registriert
- 01.04.05
- Beiträge
- 1.973
@Nogger
weil es nunmal Attacken sind... heutzutage wird mit fast allen auf meinen Server angegriffen, und gefingert wird auch... Ziel aller Attacken: den Server ständig antworten lassen um ihn zu überlasten...
Stichwort: ping -f
jeden Rechner mit minderwertiger Netzwerkkarte legst du so lahm! Andere machen es mit SSH-Anfragen, wieder andere mit Finger-Attacken und was weiss ich nicht allem... Windows ist da sehr sehr anfällig, aber mit meinem Mac hatte ich bis heute keine Probleme.
weil es nunmal Attacken sind... heutzutage wird mit fast allen auf meinen Server angegriffen, und gefingert wird auch... Ziel aller Attacken: den Server ständig antworten lassen um ihn zu überlasten...
Stichwort: ping -f
jeden Rechner mit minderwertiger Netzwerkkarte legst du so lahm! Andere machen es mit SSH-Anfragen, wieder andere mit Finger-Attacken und was weiss ich nicht allem... Windows ist da sehr sehr anfällig, aber mit meinem Mac hatte ich bis heute keine Probleme.
Slightly off-topic, aber da Du gerade das mit den SSH-Anfragen hast:
Hat jemand von euch einen einfachen Workaround, der nach n falschen Anfragen für einige Minuten ssh von der Quelle blockt (will mich ja nicht komplett aussperren, wenn ich mal wieder mit 'ner anderen Tastaturbelegung arbeite als ich denke)
Danke im Voraus
D
Hat jemand von euch einen einfachen Workaround, der nach n falschen Anfragen für einige Minuten ssh von der Quelle blockt (will mich ja nicht komplett aussperren, wenn ich mal wieder mit 'ner anderen Tastaturbelegung arbeite als ich denke
)Danke im Voraus
D
Warp-x
Prinzenapfel
- Registriert
- 08.09.05
- Beiträge
- 555
Hallo Danyow,
Du koenntest in der sshd_config erstmal "PermitEmptyPasswords" of "no" setzen, einige ready-to-run Pakete von openssh haben das nicht als standard. Dazu gibt es noch eine "LoginGraceTime" auf einen Wert ueber 2 Minuten, sollte entsprechend Hackern die Aufgabe erschweren.
Ich weiß ja nicht was Du fuer einen Server Du schuetzen willst (dediziert, zu hause, etc.), aber wenn Du magst kannst Du gerne Fragen per PM stellen - ich bin zwar etwas im "Streß", werde aber versuchen entsprechend zu antworten.
Cheers,
:WX:
Du koenntest in der sshd_config erstmal "PermitEmptyPasswords" of "no" setzen, einige ready-to-run Pakete von openssh haben das nicht als standard. Dazu gibt es noch eine "LoginGraceTime" auf einen Wert ueber 2 Minuten, sollte entsprechend Hackern die Aufgabe erschweren.
Ich weiß ja nicht was Du fuer einen Server Du schuetzen willst (dediziert, zu hause, etc.), aber wenn Du magst kannst Du gerne Fragen per PM stellen - ich bin zwar etwas im "Streß", werde aber versuchen entsprechend zu antworten.
Cheers,
:WX:
mathilda
Leipziger Reinette
- Registriert
- 17.02.05
- Beiträge
- 1.787
Wenn Du unter Linus arbeitest dann uebernimmt das die Firewall fuer Dich, sofern sie richtig konfiguriert ist. Und da liegt das Problem. iptables (die Firewall) ist sehr maechtig, man braucht also einige Kenntnisse, um zum Ziel zu gelangen.
Gib doch einfach mal
ein und Du erhaeltst einen Ueberblick. Ferner rate ich Dir zu iptables-Lektuere im Internet.
Mit iptables kannst Du Anweisungen wie die folgende umsetzen:
Wenn von einer bestimmten IP-Adresse pro Zeitraum mehr als x Anfragen fuer ssh-Login kommen, dann sperre diese IP-Adresse fuer 23 Minuten.
Gib doch einfach mal
Code:
man iptablesMit iptables kannst Du Anweisungen wie die folgende umsetzen:
Wenn von einer bestimmten IP-Adresse pro Zeitraum mehr als x Anfragen fuer ssh-Login kommen, dann sperre diese IP-Adresse fuer 23 Minuten.
fail2ban
Hi Danyow,
unter Linux gibt es das Tool fail2ban. Das entspricht eigentlich am ehsten deiner Beschreibung, denke ich. Es ist ein Python-Script, welches die Logs vom sshd und anderen Diensten überwacht und eine IP für eine bestimmte Zeit nach einer vorzugebendan Anzahl von falschen Einlogversuchen aussperrt.
Sicherlich müsste man das auch für Mac OS X ans laufen bekommen können. Aber hier habe ich noch nicht recherchiert.
Gruß
Tobi
Hi Danyow,
unter Linux gibt es das Tool fail2ban. Das entspricht eigentlich am ehsten deiner Beschreibung, denke ich. Es ist ein Python-Script, welches die Logs vom sshd und anderen Diensten überwacht und eine IP für eine bestimmte Zeit nach einer vorzugebendan Anzahl von falschen Einlogversuchen aussperrt.
Sicherlich müsste man das auch für Mac OS X ans laufen bekommen können. Aber hier habe ich noch nicht recherchiert.
Gruß
Tobi
mathilda
Leipziger Reinette
- Registriert
- 17.02.05
- Beiträge
- 1.787
Ich will ja nicht paranoid klingen, und totale Sicherheit erreicht man sicherlicher auch nicht (das ist sicher!), aber wenn es um Sicherheit geht, würde ich Interpretersprachen außen vorlassen. Das soll nicht heissen, dass ein Pythonskript mit einem wmf-Bild gleichzusetzen ist (mit dem man einem Windowscomputer Schaden zufügen kann, theoretisch auch einem Linuxrechner), aber einer systemnahen Lösung würde ich den Vorzug geben.
Oder kurz gesagt:
Python - anfällig - schlecht
iptables - systemnah - gut (aber auch das kann man aushebeln)
Oder kurz gesagt:
Python - anfällig - schlecht
iptables - systemnah - gut (aber auch das kann man aushebeln)
Naja, das sehe ich etwas anders. Außerdem habe ich Danyow so verstanden, dass er nach einigen erfolglosen Einlogversuchen für eine gewisse Zeit gesperrt werden möchte. Und genau das ermöglicht fail2ban und wird im Linux-Umfeld häufiger eingesetzt. Leider weiß ich nicht, wie man das nur mit iptables realisieren will. Aber vielleicht kannst du mir das ja erklären.
Tobi
Tobi
mathilda
Leipziger Reinette
- Registriert
- 17.02.05
- Beiträge
- 1.787
Und wenn diese Loesung auf Python basiert, kann man sie auch aushebeln. Natuerlich kann sie nicht jeder aushebeln (ich zB nicht), aber der geuebte Boesewicht schon. Und genau den will man ja draussen haben. Hier geht es ja nicht dadrum, sich selbst auszusperren und selbsterzieherische Massnahmen walten zu lassen...Tobi1051 schrieb:
Auf der anderen Seite muss man auch Aufwand und Erfolg vergleichen. nur um mal eben einen fuer den Rest der Welt belanglosen Server fuer ein paar Minuten zu sperren, macht es keinen Sinn, iptables zu erlernen.
Kann ich, aber dazu brauch ich einiges an Zeit. Und genau die hab ich im Moment aber nicht. Ich verweise aber noch einmal auf meinen oben stehenden Beitrag, dort finden sich einige Hinweise um iptables zu erlernen.Tobi1051 schrieb:
Klick mich
Hier findest Du ein Skript für BSD-Varianten (wie z. B. Darwin ...), das periodisch in authlog nach fehlgeschlagenen Logins sucht und die dazugehörigen IPs auf eine Blacklist für Deinen Paketfilter schreibt.
Ich persönlich würde das nicht einsetzen. SSH ist für den Netzwerkbetrieb gemacht und wird entsprechend gepflegt. Dass Dir irgendwelche Skripts Dein authlog zumüllen, ist zwar nicht schön, aber auch nicht so tragisch. Je nach Paketfilterkonfiguration kann es Dir passieren, dass Du DOS-Angriffe mit so einem Skript erleichterst (n fehlgeschlagene Logins von der IP-Adresse Deines Nameservers ...).
Die Konfiguration des ssh-Daemons kannst Du natürlich problemlos ändern (z. B. PasswordAuthentication und PermitRootLogin ausschalten).
Ich persönlich würde das nicht einsetzen. SSH ist für den Netzwerkbetrieb gemacht und wird entsprechend gepflegt. Dass Dir irgendwelche Skripts Dein authlog zumüllen, ist zwar nicht schön, aber auch nicht so tragisch. Je nach Paketfilterkonfiguration kann es Dir passieren, dass Du DOS-Angriffe mit so einem Skript erleichterst (n fehlgeschlagene Logins von der IP-Adresse Deines Nameservers ...).
Die Konfiguration des ssh-Daemons kannst Du natürlich problemlos ändern (z. B. PasswordAuthentication und PermitRootLogin ausschalten).
Zuletzt bearbeitet:
Cyrics
Neuer Berner Rosenapfel
- Registriert
- 01.04.05
- Beiträge
- 1.973
iptables ist auf jeden Fall das richtige glaub ich! Damit hat man unglaubliche Macht und es ergeben sich ungeahnte Möglichkeiten, wenn man es verstanden hat!
Ich hab am Anfang ein einfaches generiertes Skript von Harry's iptables-Generator genommen.
Das Blocken von IPs kannst du dann entweder per iptables sperren nach bestimmten Versuchen (z.B. nach 3 Versuchen innerhalb von 5 Sekunden, oder 3 mal falsches PW) oder per SSH, wobei es da glaub ich so gehandhabt ist, dass wenn falsches PW du für eine Weile gesperrt bist, die du festgesetzt hast.
iptables hat da eher den Vorteil, dass du variabler sein kannst, und auch finger-Attacken, pings etc. verschlucken kannst, blocken, protokollieren etc.
PS:
und SSH würde ich einfach einen neuen Port zuweisen. Port 22 sperren, und Anfragen auf diesen verschlucken und nicht mal den Log dies mitschreiben lassen (weil die nächtlichen Attacken gegen 4uhr nerven ein bissel in den Logs), dann RSA-Keys aktivieren, ein Schlüssel mit ein ziemlich langen Länge so ab 2048Bit ist es mehr als mehr als mehr als sicher derzeit noch (bis RSA mal geknackt ist), und dann kannst du dich immer mit dem Schlüssel authentifizierenund brauchst kein PW mehr. Zusätzlich kannst du noch ein Passphrase hinzufügen, was einem weiteren PW gleichkommt. Dadurch musst du aber wieder etwas eintippen... wenn das klappt, dann einfach die PW-Authentifizierung abstellen, und sich freuen, dass du der einzige bist, der per SSH zugreifen kann
PPS: und wenn das geschafft ist, alle Dienst auf localhost stellen. Alle anderen Ports sperren. Und dann alles per SSH tunneln! Das ist überzeugend sicher
Ich hab am Anfang ein einfaches generiertes Skript von Harry's iptables-Generator genommen.
Das Blocken von IPs kannst du dann entweder per iptables sperren nach bestimmten Versuchen (z.B. nach 3 Versuchen innerhalb von 5 Sekunden, oder 3 mal falsches PW) oder per SSH, wobei es da glaub ich so gehandhabt ist, dass wenn falsches PW du für eine Weile gesperrt bist, die du festgesetzt hast.
iptables hat da eher den Vorteil, dass du variabler sein kannst, und auch finger-Attacken, pings etc. verschlucken kannst, blocken, protokollieren etc.
PS:
und SSH würde ich einfach einen neuen Port zuweisen. Port 22 sperren, und Anfragen auf diesen verschlucken und nicht mal den Log dies mitschreiben lassen (weil die nächtlichen Attacken gegen 4uhr nerven ein bissel in den Logs), dann RSA-Keys aktivieren, ein Schlüssel mit ein ziemlich langen Länge so ab 2048Bit ist es mehr als mehr als mehr als sicher derzeit noch (bis RSA mal geknackt ist), und dann kannst du dich immer mit dem Schlüssel authentifizierenund brauchst kein PW mehr. Zusätzlich kannst du noch ein Passphrase hinzufügen, was einem weiteren PW gleichkommt. Dadurch musst du aber wieder etwas eintippen... wenn das klappt, dann einfach die PW-Authentifizierung abstellen, und sich freuen, dass du der einzige bist, der per SSH zugreifen kann
PPS: und wenn das geschafft ist, alle Dienst auf localhost stellen. Alle anderen Ports sperren. Und dann alles per SSH tunneln! Das ist überzeugend sicher
Es wäre interessant zu erfahren, wie eine "hochwertige" Netzwerkkarte das ändern könnte.Cyrics schrieb:
Cyrics
Neuer Berner Rosenapfel
- Registriert
- 01.04.05
- Beiträge
- 1.973
Rastafari schrieb:
naja, wenn man wirklich große Pakete losschickt, rettet dich die hochwertige Netzwerkkarte auch nicht mehr, aber als im Netzwerk alle Rechner durchgepingt habe, haben schon beim einfachen Ping sich die Acer-Notebook-Netzwerkkarten förmlich verabschiedet, bzw. wurde durch den Ping das komplette System lahm gelegt. Mein iBook hat davon nicht mal was mitgekriegt... als die Pakte größer wurden, ging es auch meinem iBook an den Kragen *gggg*
dadurch hat man nur mitbekommen, was "hochwertig" und was "minderwertig" ist.
2003-2024 Apfeltalk | Made on a Mac