Her bor Carl

Jeg har vært litt lei av å kikke gjennom loggene den siste tiden. Den fylles opp av ‘brute-force’ forsøk på SSH-serveren, hele tiden.

[root@whisky ~]# tail /var/log/messages
Jan 28 12:29:57 whisky kernel: SSH_brute_force: IN=eth0 OUT= MAC=00:1b:21:2e:76:88:00:04:27:ad:0a:c2:08:00 SRC=89.28.67.69 DST=xxx.xxx.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=TCP SPT=41380 DPT=22 WINDOW=136 RES=0x00 ACK URGP=0
Jan 28 12:29:59 whisky kernel: SSH_brute_force: IN=eth0 OUT= MAC=00:1b:21:2e:76:88:00:04:27:ad:0a:c2:08:00 SRC=89.28.67.69 DST=xxx.xxx.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=22456 DF PROTO=TCP SPT=41478 DPT=22 WINDOW=92 RES=0x00 ACK FIN URGP=0
Jan 28 12:30:00 whisky kernel: SSH_brute_force: IN=eth0 OUT= MAC=00:1b:21:2e:76:88:00:04:27:ad:0a:c2:08:00 SRC=89.28.67.69 DST=xxx.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=53 ID=22457 DF PROTO=TCP SPT=41478 DPT=22 WINDOW=92 RES=0x00 ACK URGP=0
Jan 28 12:30:10 whisky kernel: SSH_brute_force: IN=eth0 OUT= MAC=00:1b:21:2e:76:88:00:04:27:ad:0a:c2:08:00 SRC=89.28.67.69 DST=xxx.xxx.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=22458 DF PROTO=TCP SPT=41478 DPT=22 WINDOW=92 RES=0x00 ACK FIN URGP=0
Jan 28 12:30:16 whisky kernel: SSH_brute_force: IN=eth0 OUT= MAC=00:1b:21:2e:76:88:00:04:27:ad:0a:c2:08:00 SRC=89.28.67.69 DST=xxx.xxx.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=TCP SPT=41380 DPT=22 WINDOW=136 RES=0x00 ACK URGP=0
Jan 28 12:30:24 whisky kernel: SSH_brute_force: IN=eth0 OUT= MAC=00:1b:21:2e:76:88:00:04:27:ad:0a:c2:08:00 SRC=89.28.67.69 DST=xxx.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=53 ID=22459 DF PROTO=TCP SPT=41478 DPT=22 WINDOW=92 RES=0x00 ACK URGP=0
Jan 28 12:30:32 whisky kernel: SSH_brute_force: IN=eth0 OUT= MAC=00:1b:21:2e:76:88:00:04:27:ad:0a:c2:08:00 SRC=89.28.67.69 DST=xxx.xxx.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=22460 DF PROTO=TCP SPT=41478 DPT=22 WINDOW=92 RES=0x00 ACK FIN URGP=0
Jan 28 12:30:55 whisky kernel: SSH_brute_force: IN=eth0 OUT= MAC=00:1b:21:2e:76:88:00:04:27:ad:0a:c2:08:00 SRC=89.28.67.69 DST=xxx.xxx.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=TCP SPT=41380 DPT=22 WINDOW=136 RES=0x00 ACK URGP=0
Jan 28 12:31:12 whisky kernel: SSH_brute_force: IN=eth0 OUT= MAC=00:1b:21:2e:76:88:00:04:27:ad:0a:c2:08:00 SRC=89.28.67.69 DST=xxx.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=53 ID=22461 DF PROTO=TCP SPT=41478 DPT=22 WINDOW=92 RES=0x00 ACK URGP=0
Jan 28 12:31:16 whisky kernel: SSH_brute_force: IN=eth0 OUT= MAC=00:1b:21:2e:76:88:00:04:27:ad:0a:c2:08:00 SRC=89.28.67.69 DST=xxx.xxx.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=22462 DF PROTO=TCP SPT=41478 DPT=22 WINDOW=92 RES=0x00 ACK FIN URGP=0

Jeg er helt sikker på at langt over 90% av loggen består av sånne.

Jeg må endre noe her…
I configfilen til ssh (/etc/ssh/sshd_config) endrer jeg følgede oppføringer og etterpå restarter sshd

RSAAuthentication yes
PasswordAuthentication no

Nå har er den endret slik at det må være et RSA-nøkkelpar assosiert med kontoen for å logge inn. Bare et passord er ikke nok lengre. Litt mer tungvindt er det siden jeg må ha en ‘private key’ tilhørende ‘public key’ som allerede ligger på serveren.
Jeg kan altså ikke logge inn fra hvilkensomhelst maskin lengre, dette er stort sett ikke noe problem for meg.