sshsentry
Sshsentry dient zur Abwehr von Angriffen über SSH. Es überwacht die Logmeldungen von SSH und PAM, erkennt wiederholt fehlgeschlagene Loginversuche und sperrt die IP-Adressen der Angreifer. Der Administrator wird per E-Mail sowohl über die gescheiterten Loginversuche wie auch über erfolgreiche Logins informiert. Sshsentry zeichnet sich durch seine einfache Konfiguration aus. Es kann Angreifer selbstständig über die /etc/hosts.deny oder Mithilfe von IP Sets in Zusammenarbeit mit einer iptables-Firewall wie z.B. Shorewall sperren.
Funktionen und Vorteile
Ich lege Wert auf einen leicht wartbaren Aufbau und einfache Konfiguration. Sshsentry ist ausschließlich für SSH Logins gedacht. Auf zusätzlichen Ballast mit möglichen Angriffspunkten möchte ich verzichten. So ist beispielsweise keine Netzwerkfunktionalität enthalten.
Sshsentry soll durch sein Verhalten keine Informationen über den Server preisgeben. Es wird nicht zwischen existierenden und nicht existierenden Usern unterschieden um Angreifern keine Anhaltspunkte über lohnende Ziele mitzuteilen.
Sshsentry setzt moderne Technologien ein um effizient und ressourcensparend zu arbeiten. Zur Überwachung der Logdatei wird inotify verwendet, es findet kein Polling statt. Neben der /etc/hosts.deny können zum Sperren der Angreifer IP Sets verwendet werden. Diese stellen eine schnelle und effiziente Methode zum Verwalten auch längerer Sperrlisten dar und können dynamisch upgedated werden, ohne die dazugehörigen iptables-Regeln zu ändern.
Sshsentry informiert den Administrator nicht nur über abgewehrte Angriffe, sondern auch wenn sich User erfolgreich auf dem System einloggen konnten. User welche sich regelmäßig über SSH einloggen lassen sich ausblenden, so dass sich der Administrator auf ungewöhnliche Logins konzentrieren kann. Wurde beispielsweise aus Unachtsamkeit ein Standarduser mit Standardpasswort angelegt und vergessen das Passwort zu ändern oder den User später wieder zu löschen, ist die Wahrscheinlichkeit groß, dass ein Angreifer auf Anhieb oder mit nur sehr wenigen Versuchen auf das System gelangt. Also noch bevor der Angriff durch eine erhöhte Zahl von gescheiterten Logins erkannt und abgewehrt werden kann. Durch die Informations-Mail an den Administrator ist auch in diesen Fällen sichergestellt, dass der Eindringling nicht unbemerkt bleibt.
Lizenz
Sshsentry ist freie Software und darf unter den Bedingungen der GNU GPL V3 verwendet werden.
Download
- Über mein Debian Repository
- Als tar-Archiv
Feedback
Feedback ist wichtig für jedes Projekt. Bei Fragen, Verbesserungsvorschlägen oder Wünschen bin ich per Email zu erreichen.
Viel Spaß!