Re: SSH absichern
Bitte gib Deinen Realnamen im From:-Header an. Das gilt hier als
höflich und motiviert mehr Leute zu ausführlichen Antworten.
Außerdem ist es schwer, Deine überlangen Zeilen zu zitieren. Am besten
gibst Du Deinen Webmailer auf und nimmst eine Software, die sich
wenigstens rudimentär bemüht, standardkonform zu sein.
On Sun, 6 Jul 2008 20:24:16 +0000 (GMT), ". M." <speedyraser@yahoo.de>
wrote:
>wie sichere ich den SSH-Login vor Hackern und anderen Angreifern ab?
Durch geeignete Konfiguration.
>Ich denke ich werde mir dies mal anschauen...
>http://denyhosts.sf.net/
>vielleicht ist das schon eine 90%ige Sicherung (neben dem normalen Updates einspielen versteht sich natürlich...)
Ich mach das gerne mit iptables, siehe
http://blog.zugschlus.de/archives/688-fail2ban-fuer-ssh-fuer-Arme.html
Bringt natürlich die schon anderweitig erwähnten Potenziale für
denial-of-service.
>- sshd (unabdinglich, aber ich will auch den daemon verstecken, der Angreifer wird kein DAU sein und kennt die Schwächen!)
Was willst Du damit?
>- SSH Port ändern
>(was ist mit Portscannern? Wie blocke ich die oder können die das nicht herrausfinden (also scannen)? Die haben bestimmt ein Refferer zum erkennen ähnlich wie die Webseitenripper)
Ein gründlicher Angreifer findet den ssh-Daemon auch auf einem anderen
Port.
>- Name des root ändern in nicht-root
Unsinn. Bleiben lassen.
>- Passwort schön lang, mit Sonderzeichen gr-/kleinschreibung
Von mir aus.
>- Fail2Ban
Was ganz ähnliches wie Denyhosts oder meine iptables-Tricks, braucht
man IMO nur einen davon zu machen.
>(noch besser: root= normaler benutzer der in irgendeinem fakeordner landet, als Falle, auch dies kann ein versuchter illegaler Angrif sein, nurnoch hoffen das kein VPN benutzt und anzeigen)
Anfänger tendieren dazu, sich bei solchen Dingen hoffnungslos zu
versteigen. Kannst Du gerne auch tun.
Bei mir sind üblicherweise nur eine Handvoll IP-Adressen überhaupt in
der /etc/hosts.allow für ssh freigegeben (funktioniert nur wenn der
Admin von einer festen IP-Adresse kommt), root-Login ist im sshd
entweder komplett gesperrt (PermitRootLogin no) oder auf Keys mit
definierten Kommandos (PermitRootLogin Forced-Commands-Only, für
Backups etc praktisch) beschränkt, und der ssh-Login funktioniert nur
mit Key und nicht mit Passwort (PasswordAuthentication No).
>Was kann ich dagegen tun, wenn sich jemand eingeloggt hat?
Dann ist der Schaden passiert.
>Wie logge ich die Aktivität also die Befehlseingabe
apt-get install snoopy
>(also ein artKeylogger, leider ist das wort von Trojanan in den Dreck gezogen) am besten an einem unbekannten Ort speichert.
Es gibt keine unbekannten Orte. Du kannst natürlich das Log über das
Netz auf einen anderen Rechner schieben, aber das hat einen ganzen
Rattenschwanz weiterer Herausforderungen.
>Am besten darf dies nicht als daemon laufen, da der ANgreifer dies merken könnte,
>ich denke im www-verzeichnis wäre es super, so könnte ich mir das im Nachhinein runterladen (bitte weiterlesen...)
Wie soll das gehen?
>Ich kann dann:
>-entweder Server resetten, also alles neu aufspielen ->Daten futsch
Du kannst natürlich vorher die Daten sichern.
>Ist es eigentlich legal, wenn ich jemanden bezahle, der meinem Server testet und da mit Portscanner usw. rangeht?
Klar. Das nennt sich Penetration Test und kostet bei angemessen
qualifizierten Leuten Tagessätze ab 2000 Euro aufwärts. Und in einem
Tag wird man eher nicht fertig.
Es gab da vor einem Jahr eine Gesetzesänderung, die solche Tests
mindestens auf eine unsichere Grundlage stellt.
Black-Box-Penetration-Tests (das sind die, bei denen der bezahlte
Angreifer vorher keine Informationen über den Server hat) bringen nach
meinem Dafürhalten übrigens wenig bis gar nichts außer leet
Hackeraura.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: