Re: SSH - Banner abschalten?
Michael Hilscher schrieb:
> ich moechte gerne auf die Ausgabe von
> SSH-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1
Das ist hinreichend in Bug 139505 u.a. zerredet worden und es gibt gute
Gründe diesen String so zu lassen. Du kannst aber im Source version.h
und debian/rules ändern und neu kompilieren. Übrig bleiben muss ein
"SSH-2.0-OpenSSH", weil es für's Protokoll benötigt wird.
Ein Sicherheitsproblem ist es meines Erachtens nicht. Aber ein gutes
Beispiel dafür, dass Sicherheit relativ ist. Generell befürworte ich
auch Versionsangaben knapp zu halten oder abzuschalten. Bei Apache
konnte es vor kurzem vor dem Slapper-Wurm schützen. Bei einem SSH-Wurm
sollte man aber mittlerweile erwarten können, dass es aufgrund von
standardmässiger Privilege Separation selbst im Ernstfall keine grossen
Probleme geben sollte. Source selbst kompilieren kann auch ein
Sicherheitsproblem sein, wie die letztens trojanisierten SSH-Versionen
gezeigt haben.
Ich halte es bei all den genannten Abwägungen für wichtiger, die
Sicherheitsticker zu verfolgen und zeitnah Updates einzuspielen oder zu
reagieren. Und der wichtigste Sicherheitsticker sind die eigenen
Logfiles. Es ist also in der Standardinstallation ein viel grösseres
Problem, dass ich zu Deinem SSH-Server konnektieren könnte, um obige
Angabe zu bekommen, ohne dass dieses auch in nur einem Logfile vermerkt
wäre.
--
rainer@ellinger.de
Reply to: