An SSH, FTP, SASL, POP3, IMAP, Apache-Htaccess und vielen anderen Serverdiensten melden sich die Benutzer mit Namen und Passwort an. Die populären Zutrittsmechanismen sind ein potenzielles Ziel für Brute-Force-Attacken. Ein aufmerksamer Einlasser sperrt Wörterbuch-Angreifer aus.
| Inhalt |
|---|
| 78 | Prozessmigration auf Clustern
Checkpoint/Restart bietet Funktionen, die abgebrochene Prozesse 82 | Les Réformateurs
Die NuFW der französischen Open-Source-Jünger INL 88 | Edel-Logsystem Kurz getestet: Die Syslog-NG Premium Edition. 90 | LPI-Kompendium - Teil 15
Vorbereitung auf die Prüfung: TCP-Transportebene und passende |
Einer der Witze, die Admins nach dem siebzehnten Bier aus der Mottenkiste kramen, geht so:
Server: Please enter new passwort: User tippt: [P][E][N][I][S] Server: Your password is too short.
Der mäßig lustige Kalauer hat einen ernsten Hintergrund. Wenn ein Benutzer sich sein Passwort frei aussuchen darf, wählt er in vielen Fällen ein zu schwaches: den Namen von Freund,Freundin, Haustier oder Ähnliches. Diese menschliche Verhaltensweise kann sich ein Angreifer zunutze machen. Er startet eine Schleife mit Login-Versuchen, deren Passwörter er aus einer Wörterbuch-Datei rekrutiert. Denn die Wahrscheinlichkeit, dass der angegriffene Benutzeraccount ein sicheres Passwort wie »4G&dP9a!« besitzt, ist ziemlich gering.
Als Gegenmaßnahme empfiehlt es sich, die Anzahl der Login-Versuche zu begrenzen - zumindest zeitweise. Während SSH mit »MaxAuthTries« schon einen ähnlichen Mechanismus mitbringt, sieht es bei klassischen Serverdiensten düster aus. Diese Lücke schließt Fail2ban [1]. Einige Distributionen wie Debian, Ubuntu und Gentoo bringen Fail2ban bereits mit. Unter [2] gibt es den Sourcecode und Pakete für weitere.
Fail2Ban besteht aus einem Server-Daemon und einem Client, der die zentralen Konfigurationsdateien »fail2ban.conf« und »jail.conf« interpretiert und Befehle an den Server schickt. Es liest eine oder mehrere Logdateien mit und prüft jede Zeile mit regulären Ausdrücken. So kann Fail2Ban beim Überschreiten einer definierten Anzahl von Login-Versuchen die IP-Adresse des Angreifers per IPtables für eine einstellbare Zeit blockieren.
Ein Beispiel: Ich betreibe als FTP-Server einen Vsftpd. Nach drei erfolglosen Anmeldeversuchen soll der Host die IP-Adresse des Clients für fünf Minuten sperren. Das kann ich mit dem List-Kommando von IPtables überprüfen, indem ich »iptables -L failban-vsftpd« tippe und
Chain failban-vsftpd (1 references) target prot opt source destination DROP 0 -- 10.0.0.254 anywhere RETURN 0 -- anywhere anywhere
erhalte. Der passende Eintrag in der Konfigurationsdatei »jail.conf« lautet:
[vsftpd] enabled = true port = ftp filter = vsftpd logpath = /var/log/auth.log maxretry = 3 bantime = 300
Ich habe hier die »bantime« von 600 Sekunden auf 300 geändert: Fünf Minuten Ruhe reichen, um Angriffe zu verhindern, verärgern aber ein Huschelchen, das nur [Capslock] vergessen hat, nicht übermäßig. Abbildung 1 zeigt, wie die IP-Blockade um 10:52 Uhr beginnt und um 10:57 Uhr endet. Eine Sorge weniger. Nur Witze über zotige Passwörter wird auch Fail2ban nicht verhindern. (jk)
Abbildung 1: Die IPtables-Blockade gegen den Host 10.0.0.254 beginnt um 10:52 Uhr und endet um 10:57 Uhr.
| Infos |
|---|
| [1] Fail2ban: [http://www.fail2ban.org] [2] Sourcecode und Pakete: [http://www.fail2ban.org/wiki/index.php/Downloads] |
| Der Autor |
|---|
|
Charly Kühnast administriert Unix-Betriebssysteme im Rechenzentrum Niederrhein in Moers. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ (demilitarisierte Zone). In seiner Freizeit lernt er Japanisch, um endlich die Bedienungsanleitung seiner Mikrowelle lesen zu können. |
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
