Cercando di dare senso al log di sshd

Ciao,

sto cercando qualcuno che mi dia una mano a leggere il log di sshd. :slight_smile:
Penso che sshd sia abbastanza sicuro (ho disabilitato version 1 e
recentemente sono passato a authentication key e non accetto piu'
username/password).

Ecco il log:

Dec 7 06:10:20 www sshd[20938]: error: Host key
85:56:e6:c9:12:1d:3b:56:d5:0a:e6:77:82:93:f0:1a blacklisted (see
ssh-vulnkey(1))
Dec 7 06:10:25 www sshd[20940]: pam_unix(sshd:auth): check pass; user
unknown
Dec 7 06:10:25 www sshd[20940]: pam_unix(sshd:auth): authentication failure;
logname= uid=0 euid=0 tty=ssh ruser= rhost=as5300-s47-050.cnt.entelchile.net
Dec 7 06:10:27 www sshd[20938]: error: PAM: User not known to the underlying
authentication module for illegal user keaton from
as5300-s47-050.cnt.entelchile.net

Ok, allora incominciamo:

1) "error: Host key" penso significa qualcuno cerca di usare una chiave
debole, generata da Debian. Corretto?

2) "pam_unix(sshd:auth): check pass; user unknown" Immagino che
l'attaccante ha provato a usare authentication key; le credenziali sono
state passate a PAM che ha capito che non esiste l'utente. Ma che cosa
significa pero' "check pass"?

3) Speravo di eliminare molte di queste linee nel log eliminando
l'autenticazione username/password in sshd. Comunque ce ne sono ancora
parecchie... Quindi la mia domanda e': questi brute-force ssh port
knocking usano anche authentication key? Mi viene il dubbio che ho
scazzato la configurazione di ssh...(?)

Grazie,
Thomas

3) Speravo di eliminare molte di queste linee nel log eliminando
l'autenticazione username/password in sshd. Comunque ce ne sono ancora
parecchie... Quindi la mia domanda e': questi brute-force ssh port
knocking usano anche authentication key? Mi viene il dubbio che ho
scazzato la configurazione di ssh...(?)

Ciao,

io da tempo uso una porta diversa della 22 per l'sshd e non ho
assolutamente piu` problemi con queste scansioni.

Mi sembra la soluzione piu` immediata e semplice.

Bye,
Chris.

Chris Mair wrote:

io da tempo uso una porta diversa della 22 per l'sshd e non ho
assolutamente piu` problemi con queste scansioni.

E' vero. Pero' non sono molto scocciato dai messaggi o dai tentativi in
se'. Penso (spero!) che e' difficile crackare il mio sito con semplici
attacchi basati su dizionari.

Vorrei mascherare questi messaggi in logcheck, pero' vorrei prima capire
cosa cercano di dirmi esattamente. E' il perche' del mio posting.

Ciao
Thomas

Ciao Thomas,

@ Thomas,
scusa per la risposta in privato.

[log ssh]

Dec 7 06:10:25 www sshd[20940]: pam_unix(sshd:auth): check pass;
user unknown
Dec 7 06:10:25 www sshd[20940]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser=
rhost=as5300-s47-050.cnt.entelchile.net Dec 7 06:10:27 www
sshd[20938]: error: PAM: User not known to the underlying
authentication module for illegal user keaton from
as5300-s47-050.cnt.entelchile.net

Questo รจ strano.
Nel log di ssh ho solamente (migliaia) di note del tipo:
Aug 24 08:30:13 ekonsz01 sshd[8259]: User mysql not allowed because
account is locked
Aug 24 08:30:17 ekonsz01 sshd[8261]: Invalid user oracle from
81.5.205.77
Niente che chiami in causa pam.

Hai provato a impostare in sshd_config

ChallengeResponseAuthentication no
?
hth
Luigi

Ciao Luigi,

grazie della risposta!
Hai ragione, quando ho "disabilitato" username/password ho seguito questo sito
(suggerito da Google):
http://wiki.joyent.com/accelerators:kb:ssh:public-key-only
ed infatti non avevo disabilitato ChallengeResponseAuthentication...

Mi sento parecchio stupido. Penso che mandero' le prossime mail sotto un
pseudonimo!!!11! :wink:

Grazie,
Thomas