Nerfiges Brute Force

Gepostet von okami am 19 Jun 2008 in Howtos | 1 Kommentar

Nachdem immer wieder irgendwelche Brutforce Angriffe in meinen Logs aufgetaucht sind, habe ich mich entschlossen prinzipiell etwas dagegen zu unternehmen. Die üblichen Mechanismen root Remotelogins zu verweigern und Portnocking auf bestimmten Diensten sind manchmal einfach nicht umsetzbar …

In früheren Ansätzen habe ich auf iptables zurückgegriffen, hier ein Beispiel für SSH:

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl  --name SSH -j LOG --log-prefix "SSH_brute_force "
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60  --hitcount 4 --rttl --name SSH -j DROP

Mitlerweile existieren gute Mechanismen und Tools die es einem sehr einfach ermöglichen, auf solche Angriffe zu reagieren. Ein solches Tool möchte ich hier vorstellen: fail2ban

Fail2Ban ist ein kleines Programm, das Logfiles verschiedenster Programme überwacht und basierend auf Einträgen in den Logfiles Ereignisse auslöst. Es kann sowohl im Hintergrund (als Dämon) als auch im Vordergrund laufen.

Spambekämpfung mit Postfix unter Debian (Teil2)

Gepostet von okami am 10 Mrz 2008 in Mailserver | 2 Kommentare

Die Version des Artikels ist veraltet, zur aktuellen Version >> hier <<

Ebenso wichtig wie das Einbinden von Filtermechanismen in einen Maildeamon ist das Verhindern, dass man selbst unwissentlich zum Spammer wird. Im Folgenden soll Postfix so abgesichert werden, dass Mails nur mittels einer Authentifizierung via ssl abgeschickt werden können. Da es viele Möglichkeiten der Authentifizierung über SASL gibt (ldap, mysql, pam, sasldb) und alle ihre Eigenheiten besitzen, gehe ich hier nur auf die Authentifizierung gegen die hauseigene Datenbank von SASL ein.

SASL

Simple Authentication and Security Layer (SASL) ist ein Framework, das von verschiedenen Protokollen zur Authentifizierung im Internet verwendet wird. Es wurde im Oktober 1997 als RFC 2222 definiert und im Juni 2006 durch RFC 4422 ersetzt. SASL bietet dem Applikationsprotokoll damit eine standardisierte Möglichkeit der Aushandlung von Kommunikationsparametern. Im Regelfall wird nur eine Authentifizierungsmethode ausgehandelt, es kann aber auch vereinbart werden, dass zuerst auf ein verschlüsseltes Transportprotokoll, wie beispielsweise TLS, gewechselt wird. Die SASL-Implementierungen auf Client- und Server-Seite einigen sich auf ein Verfahren und dieses kann dann von der Applikation transparent benutzt werden. Durch diesen Standard wird die Entwicklung sicherer Applikationsprotokolle wesentlich vereinfacht. Der Entwickler muss lediglich eine bestehende SASL-Implementierung nutzen anstatt ein komplettes Verfahren zur Authentifizierung und Datenverschlüsselung selbst zu implementieren. SASL wird unter anderem benutzt bei SMTP, IMAP, POP3, LDAP und XMPP. Wikipedia

Fehler bei apt-get update beheben

Gepostet von okami am 1 Feb 2008 in Howtos | Keine Kommentare

Um Pakete aus dem Bereich “Security” via apt-get update zu holen, ist ein PGP-Key nötig, der die Gegentelle als vertrauenswürdig kennzeichnet. Die Fehlermeldung hatte bei mir folgende Ausgabe: GPG error: ftp://ftp.de.debian.org testing Release: The following signatures couldn’t be verified because the public key is not available: NO_PUBKEY 010908312D230C5F. Um den Public Key zu besorgen gibt man folgendes auf der Shell ein:

gpg –keyserver pgp.mit.edu –recv-keys 2D230C5F

Wie leicht zu erkennen ist genügt es hier die letzten 8 Stellen anzugeben. Dannach ist es erforderlich, dass man den Schlüssel exportiert und für das apt-get Script als vertrauenswürdigen Key hinzufügt:

gpg –armor –export 2D230C5F | apt-key add -

Bei einem erneuten “apt-get update” sollte nun keine Fehlermeldung mehr kommen.

Gateway Firewall Script II (optimiert)

Gepostet von okami am 1 Feb 2008 in Code | Keine Kommentare

Im Folgenden seht ihr ein Skript, das alle nötigen Einstellungen für eine grobe Firewall und Gateway-Funktionalität bietet.

Spambekämpfung mit Postfix unter Debian (Teil1)

Gepostet von okami am 21 Dez 2007 in Mailserver | 2 Kommentare

Die Version des Artikels ist veraltet, zur aktuellen Version >> hier <<

Im wesentlichen beziehe ich mich auf die Debiandistribution, allerdings dürften abweichend von der Grundinstallation der Pakete, diese Howto auf jeden anderen Linuxsystem ebenso funktionieren. Postfix setze ich installiert und konfiguriert vorraus.

Postfix und Cyrus werden hier lediglich mit einer Grundkonfiguration versorgt. Die Authentifikation erfolgt hier gegen die SASLDB. Eine wesentlich einfacher zu administrierende Installation, für mehrere Domains mit vielen Usern erfolgt später. Hauptaugenmerk im Teil1 ist das Einbinden von Spämbekämfungsmechanismen.

Als erstes installieren wir folgende Pakete:

#>apt-get install spamassassin razor perl pyzor procmail fetchmail postfix amavisd-new cyrus-common-2.2 cyrus-imapd-2.2 cyrus-admin-2.2 sasl2-bin

CURUS

Die Konfiguration des Imap-Daemon geschiet durch das Editieren der /etc/imapd.conf. Das von Debian angelegte File ist vollkommen brauchbar. Es muss allerdings noch mindestens ein Administrator des Daemons festgelegt werden.