Am Sonntag 06 Juli 2008 schrieb . M.: > Hallo, Hallo Jacob, Bitte verwende Deinen echten Namen im Absender-Feld. > wie sichere ich den SSH-Login vor Hackern und anderen Angreifern ab? > > Ich denke ich werde mir dies mal anschauen... > http://denyhosts.sf.net/ > vielleicht ist das schon eine 90%ige Sicherung (neben dem normalen > Updates einspielen versteht sich natürlich...) > > Im groben habe ich immer wieder folgende Möglichkeiten gerunden, wie > wirkungsvoll sind diese? > > Was nutzt ihr von den folgenden Dingen? > > - sshd (unabdinglich, aber ich will auch den daemon verstecken, der > Angreifer wird kein DAU sein und kennt die Schwächen!) Natürlich nutze ich den sshd... > - SSH Port > ändern > (was ist mit Portscannern? Wie blocke ich die oder können die das nicht > herrausfinden (also scannen)? Die haben bestimmt ein Refferer zum > erkennen ähnlich wie die Webseitenripper) Ich lege sshd auf einen anderen Port. Aber das ist mehr eine Maßnahme, um Logspamming zu vermeiden und automatisierte Scans nach Port 22 abzuwehren. Wirkliche Sicherheit gibt das nicht. Es ist möglich, via knockd oder Ähnlichem - ich glaube, da gab es noch etwas anderes - Ports nur nach vorherigem Anklopfen "freizuschalten" (via iptables entsperren oder dergleichen). Da ich SSH-Logins wie weiter unten beschrieben jedoch ohnehin nur der SSH-Schlüssel zulasse und Updates zeitnah einspiele, erscheint mir dies als übertrieben. Allerdings hat DSA-1571-1 mich da schon etwas nachdenklich gemacht... und da war ich schon froh, dass mein SSH auf einem anderen Port läuft. Obwohl das Port ändern natürlich keine echte Sicherheit gibt, scheint es extrem wirkungsvoll zu sein. Ich hab grad mal gegreppt und da war nicht ein einziger Einbruchsversuch im auth.log zu sehen. Automatisierte Scans auf komplette Netzwerke scheinen oft nur auf bekannte Ports loszugehen. Es ist halt immer ein Abwägen zwischen Aufwand und Nutzen. Ich halte meinen privaten Server mit anderem SSH-Port, Authentifizierung nur via SSH-Schlüssel und regelmäßigen Updates - ich lasse mich via cron-apt informieren - für mehr als ausreichend abgesichert. Nach allem, was ich bislang sagen kann, war da auch noch nie ein gelungener Einbruchsversuch. > - Name des root ändern in nicht-root > (und natürlich nicht in admin, master, god, gott, user) Halte ich für Blödsinn. Denn es gibt meines Erachtens genügend Möglichkeiten, einen Angreife schon vorher ins Leere laufen zu lassen. > - Passwort schön lang, mit Sonderzeichen gr-/kleinschreibung Sicherlich eine gute Idee. Ich lasse Authentifizierung via SSH ausschließlich via Key zu. So laufen - sofern nicht OpenSSH selbst einen fatalen Fehler hat - sämtliche Passwort-Attacken ohnehin ins Leere. Meine SSH-Keys sind zudem alle mit Passwörtern verschlüsselt, so dass mir Zeit bleibt, einen SSH-Key zu ersetzen, sollte mir dessen privater Teil abhanden kommen. > - Fail2Ban Hört sich im Grunde nicht verkehrt an. Wenn es Dir den Aufwand wert ist... > (noch besser: root= normaler benutzer der in irgendeinem fakeordner > landet, als Falle, auch dies kann ein versuchter illegaler Angrif sein, > nurnoch hoffen das kein VPN benutzt und anzeigen) [...] > Fragen über Fragen. Sagmal willst Du Fortknox oder einen Bankserver absichern? Das klingt mir ja schon nach Paranoia. ;) DSA-1571-1 war schon ein ziemlich Hammer, aber mit sicheren RSA-Keys erstellt mit openssl *nach dem DSA-1571-1-Update* und Key-Only-Authentifizierung solltest Du bereits auf der sicheren Seite sein. Sicherheitsupdates einspielen und ums Logspamming zu vermeiden noch SSH auf einen anderen Port. Selbst bei einem höchstkritischen Server würde ich es bei irgendwelchen Limit/Recent iptables-Spielchen, fail2ban, ggf. knockd oder etwas ähnlichem, anderen Port und ausschließlich Schlüssel-Authentifizierung belassen. > Ist es eigentlich legal, wenn ich jemanden bezahle, der meinem Server > testet und da mit Portscanner usw. rangeht? Ich meine man muss die > Sicherheit in der Praxis ja testen, und wenn sagen wir mal hacken von > Fremden (= der Auftragnehmer ist NICHT Eigentümer meines Servers) ist > es ja ne straftat)? Es wird niemand (logischerweise) Anzeige erstatten, > es geht nur ums Prinzip. Gute Frage. So genau weiß ich das auch nicht. Als Auftragsarbeit sollte es nach meinen gesunden Menschenverstand legal sein, allerdings gibt es da meines Wissens gerade bezüglich so Tools wie Portscannern und Netzwerk-Sniffern in Deutschland mittlerweile eine ziemlich merkwürdige Gesetzgebung... Ciao, -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.