ssh probing

[George Notaras]

Nick Demou wrote:
> 2009/6/9 Nick Demou <ndemou at gmail.com>:
>> 2009/6/9 DJ Art <djart at linux.gr>:
>>> [...]
>>> Δεν έχει ιδιαίτερο νόημα η καθυστέρηση ή το στήσιμο honeypot σε αυτά τα
>>> connections. Το πιθανότερο είναι πως ανήκουν είτε σε botnet, [...]
>> ο λόγος που το σκεφτόμουν να καθυστερήσω τα connections είναι πως *αν*
>> μπορώ να το κάνω εύκολα τότε *ίσως* να το κάνουν και άλλοι και η
>> ταχύτητα εξάπλωσης των botnets να μειωθεί (κάτι που θα κάνει σίγουρα
>> καλό στους σοβαρούς admins).
>>
>> (Αν το setup είναι δύσκολο δεν έχει σίγουρα νόημα)
> 
> είναι όντως πανεύκολο:
> στο ίδιο PC που τρέχεις τον κανονικό sshd στην ενναλακτική πόρτα
> τρέχεις και αυτό:
>     /usr/sbin/sshd  -p22 -o "DenyUsers *"
> 
> και έχεις έναν fake sshd να τρέχει στην πόρτα 22 και να ζητά
> credentials αλλά να επιστρέφει πάντα "Permission denied, please try
> again." λες και έδωσες λάθος pass :) Είναι τόσο εύκολο που είναι κρίμα
> να μην το δοκιμάσω

Εντυπωσιακό! Μου φαίνεται ότι το παραπάνω είναι το καλύτερο
συμπληρωματικό μέτρο στη χρήση μη στανταρ port στον κανονικό sshd.

Επίσης, θα μπορούσαν να χρησιμοποιηθούν και τα παρακάτω options για να
μειωθεί το load στο fake service και τα περιττά log messages.

LogLevel QUIET
MaxStartups 1
MaxSessions 1

Τέλος, μόλις έριξα μια ματιά για delay μεταξύ των login attempts και
βρήκα το παρακάτω pam module:

http://www-uxsup.csx.cam.ac.uk/~pjb1008/project/pam_delay/

Υπάρχει και το /lib/security/pam_faildelay.so:
http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/sag-pam_faildelay.html

Ίσως να αξίζει να ενσωματωθεί κάποιο από αυτά στο fake service. Το 'πώς'
είναι μάλλον καλύτερο να το γράψει κάποιος πιο έμπειρος με το pam.