[Af: Henrik Kramshøj]

Q: Hvad er alt dette i min log fil for SSHD? Jan 10 01:32:46 afrolem sshd[31290]: fatal: Timeout before authentication for 217.162.75.216 eller server.domain.dk login failures: Oct 29 01:45:17 fort sshd[4767]: Failed password for root from x.y.z.w

A: En der forbinder sig til din SSHD daemon - uden at logge ind eller forsøger at logge ind med root. Virus/orm eller hacker/scriptkid

Der scannes konstant på Internet efter sårbare maskiner, og det giver støj i logfilerne og det kan minimeres ved brug af følgende råd:

Flyt ssh til en anden port ret det i filen /etc/ssh/sshd_config fra 22 til 13578 eller noget andet - på server og tilføj det til din ~/.ssh/config på klienten således: host maskinnavn port 13578 Fordel: en angriber skal lave portscan for at finde SSH og du får ikke støj fra en masse orme

Dernæst kan du forbedre konfigurationen generelt ved hjælp af følgende: Brug kun SSH protokol version 2, igen /etc/ssh/sshd_config Ret teksten: #Protocol 2,1 til kun at indeholde: Protocol 2 Fordel: SSH protokol version 1 betragtes som værende usikker og bør ikke benyttes - svagheder i selve protokollen

Brug kun nøgler til autentifikation, ret derfor /etc/ssh/sshd_config: # To disable tunneled clear text passwords, change to no here! PasswordAuthentication no Fordel: nøgler er klart bedre end kodeord, det er noget du "har" Se endvidere http://mongers.org/authentication

Indstil din firewall til kun at tillade forbindelser til SSH fra bestemte netværk - hvis det er muligt Fordel: hvis der er en fejl i SSHD kan denne ikke udnyttes fra vilkårlige adresser på Internet

Din /etc/ssh/sshd_config skal altså indeholde (plus alle de andre linier) - læs manuaelen til sshd og sshd_config samt andet materiale! #Port 22 Port 13578 #Protocol 2,1 Protocol 2 .... # To disable tunneled clear text passwords, change to no here! PasswordAuthentication no

pf.conf: ... allow in on $outside proto tcp port 13578 from