SSH-Abrochsversich
Wéi vill aner Leit och hunn ech op mengem PC bestänneg den sshd lafen fir mech op Distanz kënnen anzeloggen (sief et am LAN oder iwwert den Internet). Dass dat net ganz ongeféierlech weist e klenge Bléck an d’Logfiles. Iwwert déi lescht 366 Deeg hunn ech exakt 2739 fehlgeschloe Loginversich ze verbuchen. Do ass et definitiv net vu Muttwëll anstänneg Passwierder ze benotzen…
Als zousätzlech Sécherheet limitéiren ech och nach d’Verbindungen zum SSH-Port an der Firewall op 6 Versich d’Minutt (och wann ech domat theoretesch eng Denial-of-Service-Attack riskéiren):
iptables -A FROM_INTERNET -p tcp --dport ssh \
-m state --state NEW \
-m limit --limit 6/m --limit-burst 10 \
-j ACCEPT
A wann ech schonn eng Kéier dobäi woar d’SSH-Logs e bëssen auszewerten, hunn ech och direkt déi heefegst invalid usernames aus de leschte Joren erausgefiltert (sortéiert no ofsteigender Frequenz):
183 admin
71 guest
70 oracle
59 webadmin
55 webmaster
45 sales
44 tomcat
42 staff
41 recruit
40 spam
40 office
36 virus
35 michael
25 library
25 info
21 user
21 linux
20 shell
19 unix
17 ftpuser
16 fluffy
15 william
15 trash
15 stud
15 gt05
15 aaron
14 stephanie
14 gary
13 t1na
13 mailtest
13 alessandra
11 master
11 a
10 alex
Dee Listing ass iwwregens den Output vun dësem klenge One-Liner:
grep "ssh.*Invalid user" /var/log/auth.log | awk '{print $8}' | sort | uniq -c | sort -n | tac
Labels: Linux