Auto SSH Login Blocker

[garfield]

Hallo,
ich habe es gemacht wie es in der Readme.txt steht,
es bleibt bei. "Command not found" wenn ich daemon-control start versuche.
Ich sag ja, es geht bei mir nix.

 

[flyingoffice]

Poste bitte mal die Ausgabe von

 ls -l /usr/share/denyhosts/

Gruß flyingoffice

 

[garfield]

Bitte schön, die gewünschte Ausgabe ls -l /usr/share/denyhosts/

insgesamt 116
drwxr-xr-x 4 root root 4096 2006-05-10 17:02
drwxr-xr-x 58 root root 4096 2006-05-10 08:50
-rw-r--r-- 1 root root 15920 2006-04-09 Changelog.txt
-rwx------1 root root 3981  2006-05-10 17:02 daemon-control
-rw-r--r-- 1 root root 3981 2006-03-21 21:48 daemon-control-dist
-rw-r--r-- 1 root root 20741 2006-05-10 16:59 denyhosts.cfg
-rw-r--r-- 1 root root 20741 2006-05-10 10:21 denyhosts.cfg-dist
-rw-r--r-- 1 root root 18009 2005-12-16 23:45 LICENSE.txt
drwxr-xr-x 2 root root 4096  2006-05-10 08:50 plugins
-rw-r--r-- 1 root root 3575  2006-02-02 18:06 README.txt
drwxr-xr-x 2 root root 4096  2006-05-10 08:50 scripts
-rw-r--r-- 1 root root 1522  2006-04-05 01:53 setup.py

 

[flyingoffice]

@ garfield

Ok, das stimmt soweit. Bitte folgendes in der Console ausführen:

cd /usr/share/denyhosts/
./daemon-control start

Gruß flyingoffice

 

[garfield]

So ausgeführt.
Folgendes kommt jetzt.
DenyHosts could not obtain lock (pid: )
[Errno 17] File exists: 'var/lock/subsys/denyhosts'

 

[flyingoffice]

Bin mir nicht mehr sicher, ob ich diese oder eine eine andere Fehlermeldung beim ersten Start hatte. Eine Fehlermeldung kam aber

kontrolliere mit "top" ob denyhost läuft (denyhosts.py)
kontrolliere mit "less /var/log/denyhosts" auf auffällige Meldungen
kontrolliere mit "less /etc/hosts.deny" ob bereits IPs von evt. Angriffen aufgenommen wurden.

Kommt bei einem Neustart mit

cd /usr/share/denyhosts/
./daemon-control restart

die gleiche Fehlermeldung?

Gruß flyingoffice

 

[garfield]

Also in top taucht denyhosts.py nicht auf.
less /var/log/denyhosts keine auffälligen Meldungen
less /etc/hosts.deny ohne eintrag.

Gleiche Fehlermeldung bei Neustart mit cd /usr/share/denyhosts/
./daemon-control restart

 

[flyingoffice]

@ garfield

Ändere /usr/share/denyhosts/denyhosts.cfg

# Redhat/Fedora:
#LOCK_FILE = /var/lock/subsys/denyhosts
#
# Debian
#LOCK_FILE = /var/run/denyhosts.pid
#
# Misc ([B][COLOR="Red"]diesen Eintrag aktivieren[/COLOR][/B])
LOCK_FILE = /tmp/denyhosts.lock

Ändere /usr/share/denyhosts/daemon-control

DENYHOSTS_LOCK  = "/tmp/denyhosts.lock"

Starte denyhosts erneut mit

cd /usr/share/denyhosts/
./daemon-control start

Kommt dann immernoch die Fehlermeldung?

Gruß flyingoffice

 

[garfield]

Jetzt kommt:
starting DenyHosts: user/bin/denyhosts.py --daemon --config=/user/share/denyhosts/denyhosts.cfg
DenyHosts could not obtain lock (pid: 349)
[Errno17] File exists: 'tmp/denyhosts.lock'

 

[flyingoffice]

DenyHosts could not obtain lock (pid: 349)

Die Meldung besagt, daß denyhosts unter der pid 349 läuft. Mit "ps 349" sollte Dir das auch angezeigt werden. Ist das so?

Gruß flyingoffice

 

[djrick]

Sollte der PID nicht mehr existrieren:
rm /tmp/denyhosts.lock

Ich hab denyhosts gerade auch mal installiert...gefällt mir ganz gut, besonders die "Updates" vom Server, das könnte doch sehr hilfreich sein.
Ich hab gerade mal getestet: Denyhosts arbeitet wunderbar

 

[garfield]

Die Meldung besagt, daß denyhosts unter der pid 349 läuft. Mit "ps 349" sollte Dir das auch angezeigt werden. Ist das so?

Gruß flyingoffice

ps 349 bringt folgendes:
PID TTY STAT TIME Command

Das ist alles.

 

[djrick]

Das ist alles.

Dann mach mal das was ich geschrieben hab

 

[garfield]

Gerade in top geguckt.
Gelegentlich taucht denyhosts.py dort auf, jetzt unter PID 553
PID TTY STAT TIME Command
553 ? S 0:00 /usr/bin/python /usr/bin/denyhosts.py --daemon --config=/usr/share/denyhosts/denyhosts.cfg

 

[djrick]

Na dann läufts doch?!

 

[flyingoffice]

besonders die "Updates" vom Server, das könnte doch sehr hilfreich sein.

In der Tat. Durch diese Funktion habe ich seit der Inbetriebnahme am 07.05.2206 >= 950 böse IPs in hosts.deny. Stündlich kömmem so 5-15 dazu. Da Denyhosts per default alle 30 Sekunden scannt, hat im schlimmsten Fall ein Angreifer 30 Sekunden Zeit. Durch die Syncronisation habe ich aber schon einige Angriffsversuche von vornherein abblocken können, da die IP bereits als "böse" bekannt war.

@ garfield

Was passiert, wenn Du djrick Tip befolgst und denyhosts erneut startest? Ansonsten mal http://denyhosts.sourceforge.net/faq.html A 3.13 versuchen.

/Edit: Ach, zu spät /

Gruß flyingoffice

 

[garfield]

Ja jetzt läuft es, in hosts.deny habe ich auch schon zwei erwischt.
Vielen Dank an flyingoffice für die stundenlange Arbeit.
Bei mir ist alles immer komplizierter.

 

[flyingoffice]

Ja jetzt läuft es, in hosts.deny habe ich auch schon zwei erwischt. Vielen Dank an flyingoffice für die stundenlange Arbeit.
Bei mir ist alles immer komplizierter.

Den Eindruck habe ich auch . Aber kein Problem, Ich steige auch erst gerade in die Linux Welt ein und auch für mich ist das Eine oder Andere sagen wir mal etwas fremd und ungewohnt. Da bei Dir ja fast nichts richtig läuft, sollten wir noch mal testen, ob hosts.deny auch richtig lauft. Nicht, daß Du Dich jetzt auf Denyhosts verläßt, es aber garnicht funktioniert

Füge bitte die folgende Zeile in "/etc/hosts.deny" ein

sshd: 127.0.0.1

Führe jetzt folgenden Befehl auf der Console aus

ssh localhost

Wenn jetzt ein

ssh_exchange_identification: Connection closed by remote host

kommt, ist alles OK (dann sshd: 127.0.0.1 wieder löschen), wenn nicht, haben
wir ein neues zu lösendes Problem

Gruß flyingoffice

 

[garfield]

The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is xxxxxxxxxxxxxxxx
Are you shure you want to continue connecting (yes/no) yes
Warning: Permanently added localhost (RSA) to the list of known hosts.
Password:

Soll ich das wirklich machen?

 

[flyingoffice]

Soll ich das wirklich machen?

Keine Ahnung . Du scheinst echt ein Sonderfall zu sein, beim dem nicht so ist wie es sein sollte. Bei mir kam natürlich die besagte Meldung. Alternativ beobachte, ob Du in "/var/log/messages" in den nächsten Tagen ein "refused connect from {IP Adresse}" findest und in "/var/log/denyhosts" ein "new denied hosts: ['{IP Adresse}']"

Gruß flyingoffice