Re: SSH absichern

To: debian-user-german@lists.debian.org
Subject: Re: SSH absichern
From: Jacob <speedyraser@yahoo.de>
Date: Mon, 7 Jul 2008 07:21:10 +0000 (GMT)
Message-id: <[🔎] 363222.55502.qm@web28004.mail.ukl.yahoo.com>
Reply-to: speedyraser@yahoo.de

Hallo Reinhold!

> Realnamen sind hier gern gesehen.

Ich habe doch meinen Namen genannt! Ich weiss, es nervt mich auch, das man das Feld Name ausfüllen muss... dies habe ich jetzt getan.


> Warum 'unsichtbar' machen?
> Entweder Du benötigst diesen Dienst oder nicht.

Ganz einfach - wenn der Angreifer drin ist und sieht das daemon
sowieso läuft, und dies was aufzeichnet <-- und eine Gefahr
darstellen könnte (natürlich hat der Angreifer viele Bücher
gelesen) killt er diesen daemon.

Wenn es aber unsichtbar ist, weiss er nicht das es läuft.
Und er wird vielleicht NICHT schauen ob das Programm
vorhanden ist (wenn vorhanden, kann man ausgehen bzw.
muss man ausgehen, das es läuft, und er wird versuchen
es zu killen).


> Kein Passwort basiertes Login zulassen, nur per Key.

Wie mache ich das?
Ich würde sagen, per key, passwort und benutzernamen, 
ich rechne jetzt nicht aus, wieviele Möglichkeiten minut 
den Fallen gegen Angreifer (nach x versuchen temp. 
gesperrt... usw.) eine chanche hat.


> Hilft nur gegen Skriptkiddies.
Entweder hast du es nochnicht ausprobiert, oder du 
hast die e-mail von Martin nicht gelesen, denn er 
schreibt das völlig positives!

Sollte dies nicht stimmen, kannst du dies mit ihm 
gerne ausdisskutieren oder besser: dich selber überzeugen.

Ich finde es auch schön, das nebenbei auch die anderen 
etwas lernen.



> Imho ist das legal, da Du ja den Auftrag dazu erteilt hast.

Naja, aber bin ich nicht auch kriminell, weil ich 
jemanden bezahle, der einen Angriff durchführt? Rein 
rechtlich stecke ich schon mit den einem Fuß in der 
Grauzone - egal wem der Server gehört.


> PS: Begrenze Deine Zeilenlänge bitte auf max. 72 Zeichen.
> Danke.


Ich mache das nun per Hand, mal schauen ob es besser ankommt.

Gruß
Jacob


--- Reinhold Plew <Reinhold.Plew@aedon-its.de> schrieb am So, 6.7.2008:

> Von: Reinhold Plew <Reinhold.Plew@aedon-its.de>
> Betreff: Re: SSH absichern
> An: debian-user-german@lists.debian.org
> Datum: Sonntag, 6. Juli 2008, 22:38
> Hallo M.
>
> Realnamen sind hier gern gesehen.
>
> . M. wrote:
> > Hallo,
> >
> > wie sichere ich den SSH-Login vor Hackern und anderen
> Angreifern ab?
> >
> > Ich denke ich werde mir dies mal anschauen...
> > http://denyhosts.sf.net/
> > vielleicht ist das schon eine 90%ige Sicherung (neben
> dem normalen Updates einspielen versteht sich
> natürlich...)
> >
> > Im groben habe ich immer wieder folgende
> Möglichkeiten gerunden, wie wirkungsvoll sind diese?
> >
> > Was nutzt ihr von den folgenden Dingen?
> >
> > - sshd (unabdinglich, aber ich will auch den daemon
> verstecken, der Angreifer wird kein DAU sein und kennt die
> Schwächen!)
>
> Warum 'unsichtbar' machen?
> Entweder Du benötigst diesen Dienst oder nicht.
>
> > - SSH Port ändern
> > (was ist mit Portscannern? Wie blocke ich die oder
> können die das nicht herrausfinden (also scannen)? Die
> haben bestimmt ein Refferer zum erkennen ähnlich wie die
> Webseitenripper)
>
> Hilft nur gegen Skriptkiddies.
>
> > - Name des root ändern in nicht-root
> > (und natürlich nicht in admin, master, god, gott,
> user)
>
> Nein, einfach kein direktes Login für root zulassen.
>
> > - Passwort schön lang, mit Sonderzeichen
> gr-/kleinschreibung
>
> Kein Passwort basiertes Login zulassen, nur per Key.
>
> > - Fail2Ban
>
> Imho brauchst Du das nicht, aber stört auch nicht.
>
> > (noch besser: root= normaler benutzer der in
> irgendeinem fakeordner landet, als Falle, auch dies kann
> ein versuchter illegaler Angrif sein, nurnoch hoffen das
> kein VPN benutzt und anzeigen)
> >
> > Was kann ich dagegen tun, wenn sich jemand eingeloggt
> hat?
>
> Dann hast Du sowieso schon verloren.
>
> [...]
>
> > Ist es eigentlich legal, wenn ich jemanden bezahle,
> der meinem Server testet und da mit Portscanner usw.
> rangeht? Ich meine man muss die Sicherheit in der Praxis ja
> testen, und wenn sagen wir mal hacken von Fremden (= der
> Auftragnehmer ist NICHT Eigentümer meines Servers) ist es
> ja ne straftat)? Es wird niemand (logischerweise) Anzeige
> erstatten, es geht nur ums Prinzip.
>
> Imho ist das legal, da Du ja den Auftrag dazu erteilt hast.
>
> Reinhold
>
> PS: Begrenze Deine Zeilenlänge bitte auf max. 72 Zeichen.
> Danke.
>
>
> --
> Haeufig gestellte Fragen und Antworten (FAQ):
> http://www.de.debian.org/debian-user-german-FAQ/
>
> Zum AUSTRAGEN schicken Sie eine Mail an
> debian-user-german-REQUEST@lists.debian.org
> mit dem Subject "unsubscribe". Probleme? Mail an
> listmaster@lists.debian.org (engl)



      __________________________________________________________
Gesendet von Yahoo! Mail.
Dem pfiffigeren Posteingang.
http://de.overview.mail.yahoo.com

Reply to:

Follow-Ups:
- Re: SSH absichern
  - From: Reinhold Plew <Reinhold.Plew@aedon-its.de>
- Re: SSH absichern
  - From: Tobias Nissen <tn@movb.de>
- Re: SSH absichern
  - From: cfchris6 <cfchris6@yahoo.de>

Prev by Date: Re: Backup von MySQL Datenbanken
Next by Date: Re: SSH absichern
Previous by thread: Re: SSH absichern
Next by thread: Re: SSH absichern
Index(es):
- Date
- Thread