ubuntuusers.de

sshd: Timeout before authentication

Status: Ungelöst | Ubuntu-Version: Nicht spezifiziert
Antworten |

Zed_Roeder

Anmeldungsdatum:
7. August 2006

Beiträge: 16

Hallo Zusammen!

Hab mir Freitag openssh auf meinem ubuntu 7.04 installiert (Authentifizierung über Public-Key-Verfahren; PasswordAuthentication no - UsePAM no).

Nachdem ich übers Wochenende weg war habe ich mir gestern die auth.log angesehen.

Wie nicht anders zu erwarten gab es verschiedene brute force Attacken, welche allerdings nach folgendem Logeintrag abrupt enden:

sshd[1847]: fatal: Timeout before authentication for ...

Nun zu meinen Fragen:

1. Handelt es sich hier lediglich um einen Timeout, da der User "vergessen" hat ein Psw einzugeben, oder können hier auch andere Gründe vorliegen (hosts.allow hat Client-Connect nicht erlaubt, internes Limit für Verbindungsversuche wurde überschritten, etc.)?

2. Ist es sinnvoll solche Attacken über ein zusätzliches Tool (z.B. http://denyhosts.sourceforge.net/) auszuschließen, oder beschaffe ich mir damit nur weitere mögliche Fehlerquellen?

3. Ist der ssh-Server nach obiger Meldung "abgeschmiert", oder warum finden sich nach obiger Meldung keine weiteren Loginversuche?

Vielen Dank im Voraus für Eure Antworten.

Viele Grüße

zed

Blattlaus

Avatar von Blattlaus

Anmeldungsdatum:
29. März 2006

Beiträge: 1399

Zed Roeder hat geschrieben:

1. Handelt es sich hier lediglich um einen Timeout, da der User "vergessen" hat ein Psw einzugeben, oder können hier auch andere Gründe vorliegen (hosts.allow hat Client-Connect nicht erlaubt, internes Limit für Verbindungsversuche wurde überschritten, etc.)?

Das dürfte mit hoher Wahrscheinlichkeit ein normaler Loginversuch sein. Evtl. hat der Bot (falls es denn einer war) die Verbindung einfach nicht beendet hat und die deswegen der sshd getrennt hat.

Zed Roeder hat geschrieben:

2. Ist es sinnvoll solche Attacken über ein zusätzliches Tool (z.B. http://denyhosts.sourceforge.net/) auszuschließen, oder beschaffe ich mir damit nur weitere mögliche Fehlerquellen?

Nein, ist es nicht. Authentifzierung über PK ist sicher. Das einzige was diese Tools tuen, ist dein Log sauber halten. Dafür das Risiko eingehen sich selbst auszusperren (oder schlimmer: gezielt ausgesperrt zu werden) ist es nicht wert.

Zed Roeder hat geschrieben:

3. Ist der ssh-Server nach obiger Meldung "abgeschmiert", oder warum finden sich nach obiger Meldung keine weiteren Loginversuche?

Läuft er noch? Siehste...

Antworten |