class: center, middle # 🛡Server absichern🛡 ## Angriffe automatisch abwehren mit # 🦉SSHGuard ### Hauke Goos-Habermann #### https://goos-habermann.de --- ### Zu diesem Video ![img33l](../../gfx/cybaer-schrift-links.png) Dieses Video ist Teil gemeinsamen Projektes, bei dem Jean, Micha und ich verschiedene Aspekte behandeln, wie Ihr Eure Server absichern könnt. **Playlist mit allen Videos**:
https://youtube.com/playlist?list=PLhvaM7uJr1PA89sEfrL74abQ4kZGC3Js9
Viel Spaß beim Vorbeischauen und Anschauen :-) --- ### Über mich - Entwickler des
Softwareverteilungssystems m23
- Organisator der
Kieler Open Source und Linux Tage
-
Dienstleister zu m23, Linux und Freier Software
- Softwareentwicklung (PHP, BASH, C/C++, JS, Python und was sonst so gebraucht wird...) - Administration - Schulungen - Support - Beratung - quasi **alles**, *was mit Linux zu tun hat* - Wöchentlicher Livestream *"Jean und Hauke Show"* auf https://www.youtube.com/c/LinuxGuides - Community-Video-Serie *"Nicht der Weisheit letzter Schluß"* auf
tube.tchncs.de
und
YouTube
mit **beruflichen** oder **privaten Projekten** - Verwendet SSHGuard als Teil der grundlegenden Absicherung für seine Server. --- ### 🦉SSHGuard
SSHGuard
ist eine *dynamische Firewall* (**I**ntrusion **P**revention **S**ystem), die automatisch die IPs von Angreifern blockt: * Auswertung von Logs (z.B. syslog) * Erkennt Angriffe (z.B. auf OpenSSH, Mail- oder FTP-Server) * Blockt IP-Adressen, von denen die Angriffsversuche kommen (z.B. via FirewallD oder iptables) --- ### 🦉SSHGuard installieren Unter Debian 10, Ubuntu oder RaspberryPi OS wird SSHGuard einfach installiert mit: ```bash apt-get install sshguard ``` --- ### 🦉SSHGuard unter Debian 11 SSHGuard **fehlt** allerdings **unter Debian 11**. Was tun? * Paketquelle von Debian unstable/sid einbinden: ```bash echo 'deb http://deb.debian.org/debian/ sid main' > \ /etc/apt/sources.list.d/sid.list ``` * Priorität so niedrig ansetzen, damit standardmäßig nichts aus Debian unstable/sid installiert wird: ```bash echo 'Package: * Pin: release a=unstable Pin-Priority: -100' > /etc/apt/preferences.d/sid-100 ``` * SSHGuard explizit aus Debian unstable/sid installieren: ```bash apt-get update apt-get install -t sid sshguard ``` **Hinweis:** Anleitung zum Bauen eines SSHGuard-Paketes aus Quelltexten im ***Naaachschlaaag***
Debian 11 absichern mit SSHGuard: SSHGuard-Paket bauen V2
. --- ### Whitelist Auch eigene Rechner werden von SSHGuard geblockt (z.B. wenn man zu oft das SSH-Paßwort falsch eingibt). Um das zu verhindern, können wir eigene IP-Adressen in die SSHGuard-Whitelist eintragen, um ein Blockieren zu verhindern: ```bash nano /etc/sshguard/whitelist ``` Zum Anwenden der Whitelist starten wir SSHGuard neu: ```bash /etc/init.d/sshguard restart ``` --- ### Wer greift an? Beispieleinträge in *"/var/log/auth.log"*": ```bash sshguard[123]: Attack from "1.2.3.4" on service SSH with danger 10. sshguard[123]: Attack from "1.2.3.4" on service SSH with danger 10. sshguard[123]: Attack from "1.2.3.4" on service SSH with danger 10. sshguard[123]: Blocking "1.2.3.4/32" for 120 secs (3 attacks in 8 secs, after 1 abuses over 8 secs.) sshguard[123]: 1.2.3.4: unblocking after 163 secs ``` Oder über *journalctl* abfragen mit: ```bash journalctl -t sshguard ``` Beispielausgabe: ```bash Jan 01 09:23:09 x.y sshguard[123]: Blocking "1.2.3.4/32" for 120 secs (3 attacks in 1 secs, after 1 abuses over 2 secs.) Jan 04 12:23:00 x.y sshguard[123]: Attack from "2.3.4.5" on service 100 with danger 2. ``` --- class: center, middle ### Informationen zu mir und meinen Dienstleistungen, m23, ... ### https://goos-habermann.de