Ansgar Püster
2020-07-03 15:54:12 UTC
Hallo Sebastian,
dein Paket habe ich auf einem Testsystem installiert.
Einige Dinge sind mir aufgefallen:
1.) Datei /var/lib/sshguard/whitelist.conf
-- schnipp --
#----------------------------------------------------------------------------
# /var/lib/sshguard/whitelist.conf
# generated by /var/install/config.d/sshguard.sh
#
# Do not edit this file, edit /etc/config.d/sshguard
# Creation Date: 2020-07-02 Time: 17:31:31
#----------------------------------------------------------------------------
0.0.0.0/8
10.0.0.0/8
127.0.0.0/8
172.16.0.0/12
192.168.0.0/16
-- schnipp --
Mir ist es nicht gelungen diese über /etc/config.d/sshguard
zu konfigurieren. Es sollte dokumentiert werden, dass sshguard
das aktuelle Netz, localnet, private Klasse A,B,C Netze nicht
überwacht.
2.) Skript /usr/lib/sshg-logtail
Das Skript enthält meines Erachtens einen heftigen Designfehler.
Beim /etc/init.d/sshguard start wird die komplette, ggf. sehr
alte Datei /var/log/messages via cat an die Prozessreihe von
sshguard übergeben. Auch alte log message werden ausgewertet.
Das führt ggf. zu einer sofortigen Attack Meldungen und damit
zu einem Blocking auf Grund dieser "uralten" log messages.
3.) Logging-Datei
Relevante auth.info und authpriv.info messages werden ausschließlich
in /var/log/messages erwartet. Es gibt derzeit keine Möglichkeit eine
andere Datei anzugeben.
Es sollte ggf. auch ein Hinweis erfolgen, dass ein Einsatz des
Paketes sshguard bei Systemen, die kein lokales Logging sondern
ausschließlich ein zentrales Logging auf einem Log-Server nutzen,
nicht funktionieren kann.
4.) Blocking Gründe
Auch Meldungen von proftpd und pure-ftpd werden ausgewertet und
führen dann ggf. zum blocking. Ich muss noch mal prüfen, was da
wirklich passiert.
5.) ssh port
Kann irgendwie konfiguriert werden, dass ssh auf einem Port
ungleich 22 läuft?
Ansonsten ein sehr interessantes Paket.
So weit erst mal.
Gruß,
Ansgar
dein Paket habe ich auf einem Testsystem installiert.
Einige Dinge sind mir aufgefallen:
1.) Datei /var/lib/sshguard/whitelist.conf
-- schnipp --
#----------------------------------------------------------------------------
# /var/lib/sshguard/whitelist.conf
# generated by /var/install/config.d/sshguard.sh
#
# Do not edit this file, edit /etc/config.d/sshguard
# Creation Date: 2020-07-02 Time: 17:31:31
#----------------------------------------------------------------------------
0.0.0.0/8
10.0.0.0/8
127.0.0.0/8
172.16.0.0/12
192.168.0.0/16
-- schnipp --
Mir ist es nicht gelungen diese über /etc/config.d/sshguard
zu konfigurieren. Es sollte dokumentiert werden, dass sshguard
das aktuelle Netz, localnet, private Klasse A,B,C Netze nicht
überwacht.
2.) Skript /usr/lib/sshg-logtail
Das Skript enthält meines Erachtens einen heftigen Designfehler.
Beim /etc/init.d/sshguard start wird die komplette, ggf. sehr
alte Datei /var/log/messages via cat an die Prozessreihe von
sshguard übergeben. Auch alte log message werden ausgewertet.
Das führt ggf. zu einer sofortigen Attack Meldungen und damit
zu einem Blocking auf Grund dieser "uralten" log messages.
3.) Logging-Datei
Relevante auth.info und authpriv.info messages werden ausschließlich
in /var/log/messages erwartet. Es gibt derzeit keine Möglichkeit eine
andere Datei anzugeben.
Es sollte ggf. auch ein Hinweis erfolgen, dass ein Einsatz des
Paketes sshguard bei Systemen, die kein lokales Logging sondern
ausschließlich ein zentrales Logging auf einem Log-Server nutzen,
nicht funktionieren kann.
4.) Blocking Gründe
Auch Meldungen von proftpd und pure-ftpd werden ausgewertet und
führen dann ggf. zum blocking. Ich muss noch mal prüfen, was da
wirklich passiert.
5.) ssh port
Kann irgendwie konfiguriert werden, dass ssh auf einem Port
ungleich 22 läuft?
Ansonsten ein sehr interessantes Paket.
So weit erst mal.
Gruß,
Ansgar