Re: SSH absichern
Hallo M.
Realnamen sind hier gern gesehen.
. M. wrote:
Hallo,
wie sichere ich den SSH-Login vor Hackern und anderen Angreifern ab?
Ich denke ich werde mir dies mal anschauen...
http://denyhosts.sf.net/
vielleicht ist das schon eine 90%ige Sicherung (neben dem normalen Updates einspielen versteht sich natürlich...)
Im groben habe ich immer wieder folgende Möglichkeiten gerunden, wie wirkungsvoll sind diese?
Was nutzt ihr von den folgenden Dingen?
- sshd (unabdinglich, aber ich will auch den daemon verstecken, der Angreifer wird kein DAU sein und kennt die Schwächen!)
Warum 'unsichtbar' machen?
Entweder Du benötigst diesen Dienst oder nicht.
- SSH Port ändern
(was ist mit Portscannern? Wie blocke ich die oder können die das nicht herrausfinden (also scannen)? Die haben bestimmt ein Refferer zum erkennen ähnlich wie die Webseitenripper)
Hilft nur gegen Skriptkiddies.
- Name des root ändern in nicht-root
(und natürlich nicht in admin, master, god, gott, user)
Nein, einfach kein direktes Login für root zulassen.
- Passwort schön lang, mit Sonderzeichen gr-/kleinschreibung
Kein Passwort basiertes Login zulassen, nur per Key.
- Fail2Ban
Imho brauchst Du das nicht, aber stört auch nicht.
(noch besser: root= normaler benutzer der in irgendeinem fakeordner landet, als Falle, auch dies kann ein versuchter illegaler Angrif sein, nurnoch hoffen das kein VPN benutzt und anzeigen)
Was kann ich dagegen tun, wenn sich jemand eingeloggt hat?
Dann hast Du sowieso schon verloren.
[...]
Ist es eigentlich legal, wenn ich jemanden bezahle, der meinem Server testet und da mit Portscanner usw. rangeht? Ich meine man muss die Sicherheit in der Praxis ja testen, und wenn sagen wir mal hacken von Fremden (= der Auftragnehmer ist NICHT Eigentümer meines Servers) ist es ja ne straftat)? Es wird niemand (logischerweise) Anzeige erstatten, es geht nur ums Prinzip.
Imho ist das legal, da Du ja den Auftrag dazu erteilt hast.
Reinhold
PS: Begrenze Deine Zeilenlänge bitte auf max. 72 Zeichen. Danke.
Reply to: