# ssh Frage

## oma

Moin, moin

Ich habe über dyndns einen Rechner der ab und an von außen erreichbar ist. Ich hab nun mal wieder ins /var/log/auth geschaut und gesehen das jemand versucht mit mir "zu spielen"   :Smile: 

```
schnipp//

Aug 13 01:55:46 london sshd[30653]: Illegal user test from 61.97.137.76

Aug 13 01:55:46 london sshd[30653]: Failed password for illegal user test from 61.97.137.76 port 38496 ssh2

Aug 13 01:55:50 london sshd[30655]: User guest not allowed because shell /dev/null is not executable

Aug 13 01:55:50 london sshd[30655]: Failed password for illegal user guest from 61.97.137.76 port 38585 ssh2

Aug 13 02:15:42 london sshd[30661]: Illegal user test from 61.97.137.76

Aug 13 02:15:42 london sshd[30661]: Failed password for illegal user test from 61.97.137.76 port 39353 ssh2

Aug 13 02:15:46 london sshd[30663]: User guest not allowed because shell /dev/null is not executable

Aug 13 02:15:46 london sshd[30663]: Failed password for illegal user guest from 61.97.137.76 port 39446 ssh2

Aug 13 02:19:04 london sshd[30665]: Illegal user test from 61.97.137.76

Aug 13 02:19:04 london sshd[30665]: Failed password for illegal user test from 61.97.137.76 port 40267 ssh2

Aug 13 02:19:08 london sshd[30667]: User guest not allowed because shell /dev/null is not executable

Aug 13 02:19:08 london sshd[30667]: Failed password for illegal user guest from 61.97.137.76 port 40278 ssh2

Aug 13 13:36:20 london sshd[30805]: Illegal user test from 203.251.69.201

Aug 13 13:36:21 london sshd[30805]: Failed password for illegal user test from 203.251.69.201 port 2548 ssh2

Aug 13 13:36:24 london sshd[30807]: User guest not allowed because shell /dev/null is not executable

Aug 13 13:36:24 london sshd[30807]: Failed password for illegal user guest from 203.251.69.201 port 2640 ssh2

Aug 13 13:36:27 london sshd[30809]: Illegal user test from 203.251.69.201

Aug 13 13:36:27 london sshd[30809]: Failed password for illegal user test from 203.251.69.201 port 2708 ssh2

Aug 13 13:36:30 london sshd[30811]: User guest not allowed because shell /dev/null is not executable

Aug 13 13:36:30 london sshd[30811]: Failed password for illegal user guest from 203.251.69.201 port 2814 ssh2

//schnapp
```

Ich hab den Rechner entsprechend der Anleitung http://www.gentoo.de/doc/de/gentoo-security.xml "gesichert". Nun meine Frage:

Kann ich den sshd so einstellen das er mit dem Key nicht "hausieren" geht? Wenn ich den Rechner z.B. per putty aufrufe fragt er mich ja ob ich den Key xyz hinzufügen und benutzen möchte - irgendwie unsicher...

Ich stelle mir das so vor: Ich schalte die "Hausieren" Funktion ab, erstelle einfach einen neuen Key und nur wer den Key (je nach OS im .ssh File) hat kann überhaupt erst eine Verbindung öffnen.

Weder man sshd boch sshd_config haben mich bislang sinnvoll auf den Weg gebracht  :Confused: 

----------

## Sas

Guck mal in die /etc/ssh/sshd_config, da steht bei mir ne Menge drin, was danach klingt (Abschnitt "Authentication"), ausprobiert habe ichs aber nicht.

----------

## oma

Das war auch mein erster Gedanke  :Very Happy: 

Irgendwie möchte ich da nichts falsch machen und mehr Türen öfnen als verschließen - somit ist try and error keine gute option für mich...

----------

## tm130

Es handelt sich vermutlich um einen SSH-Wurm. Es wird empfohlen Password-authentification zu deaktivieren und auf key-auth umzustellen. Siehe auch : http://www.unixboard.de/vb3/showthread.php?t=8900&highlight=ssh+wurm

----------

## oma

Mhh, das scheint wohl so ein Angriff gewesen zu sein. Hab gerade mal gewhoisd: Beide aus Korea... Was wird denn damit genau geändert - funktioniert mein Vorschlag gar nicht?

----------

## Sas

Wenn du nicht probieren willst, wirst du wohl "man sshd_config" lesen müssen, da steht alles drin. Guck da mal nach "PasswordAuthentication" und "PubkeyAuthentication", das sollte das sein, was du suchst.

----------

## oma

 *oma wrote:*   

>  Weder man sshd boch sshd_config haben mich bislang sinnvoll auf den Weg gebracht 

  Naja, das hatte ich ja schon hinter mir-werde da aber noch mal nachsehen   :Smile: 

----------

## Sas

Achso, ja sorry. Da habe ich dich missverstanden. Ich dachte du hättest in die manpage sshd und in die sshd_config-Datei geguckt  :Wink: 

Tun diese beiden Optionen denn nicht genau das, was du willst? Ich hab das so verstanden.

----------

## JoHo42

Hi

frage wie bekommst du das mit der Logdatei "/var/log/auth" hin.

Die Logdatei hätte ich da aber auch ganz gerne.

Wo stellt man das ein?

MFG Jörg

----------

## SinoTech

 *JoHo42 wrote:*   

> Hi
> 
> frage wie bekommst du das mit der Logdatei "/var/log/auth" hin.
> 
> Die Logdatei hätte ich da aber auch ganz gerne.
> ...

 

Guck mal hier

http://www.gentoo.de/doc/de/gentoo-security.xml

Also habe es mir jetzt nicht für alle log-tools angeschaut, aber bei  "syslog-ng"  steht was du brauichst in der Beispiel-config drinne.

EDIT:

Bzw. trage das in deine "/etc/syslog-ng/syslog-ng.conf" ein:

```

destination authlog { file("/var/log/auth.log"); };

filter f_auth { facility(auth); };

filter f_authpriv { facility(auth, authpriv); };

log { source(src); filter(f_authpriv); destination(authlog); }; 

```

----------

