[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: SSH absichern

Hallo Marc,

hoffentlich sieht meine Mail jetzt sauber aus. 
Per Hand, ist auch nicht all zu viel Aufwand.


> Was willst Du damit?

Meinst du mit sshd oder mit dem verstecken? ich denke du 
hinterfragst zweitens. Wenn der Angreifer sieht, das der 
daemon läuft, gekillt wird. Genau hierfür wird dieser ja
installiert.  

> Ein gründlicher Angreifer findet den ssh-Daemon auch auf
> einem anderen
> Port.

Wird denn beim durchprüfen vom Port nichts in den Logs
drinstehen? 


> Unsinn. Bleiben lassen.

Aber dann kann ich das mit dem 
"Login nicht als root erlauben" knicken, wovon ich total
begeistert war, das es soetwas gibt.

Und wenn der user root heißt, kann man doch um so einfacher
angreifen. Ich will nicht wissen, auf wievielen Webservern
dies nicht abgeändert wurde.


> Anfänger tendieren dazu, sich bei solchen Dingen
> hoffnungslos zu
> versteigen. Kannst Du gerne auch tun.

Wenns hoffnungslos ist, brauche ich es nicht.
Es war halt eine Idee.


> apt-get install snoopy

Okay, danke! Mir wurde gesagt, das die Eingaben autom-
atusch gespeichert werden, in der bash_history.

Oder habe ich hier wieder das Problem, das der
Angreifer einfach den Inhalt leert?
 
Bei snoopy könnte er es doch auch oder?


> Es gibt keine unbekannten Orte.

Na okay, ich meine eher verstecken. Ich fühle mich zwar ein
wenig komisch, das ich auf meinen Server was verstecken muss
aber es könnte morgen nicht mehr meiner sein... jedenfalls
unter meiner Macht. Achso, ich kann diesen ja noch
runterfahren, bringt aber dann sowieso nichts mehr.


> Du kannst natürlich das
> Log über das
> Netz auf einen anderen Rechner schieben, aber das hat einen
> ganzen
> Rattenschwanz weiterer Herausforderungen.

Ein Probkem könnte sein, bitte um bestätigung bei Richtigkeit.
wenn es z.B. auf einen ftp kopiert wird, kann der Angreifer
einfach den daemon ftp killen, den braucht er sowieso nicht.
Des weiteren wenn dort die Logindaten zum ftp gespeichert sind
(egal ob verschlüsselt, da knackbar oder unverschlüsselt) kann
er auch da Schaden anrichten.


> Wie soll das gehen?

daemon verstecken? Ich weiss nicht, aber sonst bringt der Ansatz
nichts. 


> Du kannst natürlich vorher die Daten sichern.

Hoemapeg/Datenbank ist sowieso kein Problem.

Okay, ich lade mir dann das alles runter, also den kompletten
Serverinhalt. 

Wie mache ich das am cleversten? ghost4linux würde ich nehmen,
ist schön mit Dialogen und Abfragen.



> qualifizierten Leuten Tagessätze ab 2000 Euro aufwärts.

Das sind für mich nur Leute, die schonmal saßen wegen Hacken.
Genau die würde ich sofrt nehmen! (okay kostet eine Stange...)


Gruß
Jacob



--- Marc Haber <mh+debian-user-german@zugschlus.de> schrieb am Mo, 7.7.2008:

> Von: Marc Haber <mh+debian-user-german@zugschlus.de>
> Betreff: Re: SSH absichern
> An: debian-user-german@lists.debian.org
> Datum: Montag, 7. Juli 2008, 8:51
> Bitte gib Deinen Realnamen im From:-Header an. Das gilt hier
> als
> höflich und motiviert mehr Leute zu ausführlichen
> Antworten.
> 
> Außerdem ist es schwer, Deine überlangen Zeilen zu
> zitieren. Am besten
> gibst Du Deinen Webmailer auf und nimmst eine Software, die
> sich
> wenigstens rudimentär bemüht, standardkonform zu sein.
> 
> On Sun, 6 Jul 2008 20:24:16 +0000 (GMT), ". M."
> <speedyraser@yahoo.de>
> wrote:
> >wie sichere ich den SSH-Login vor Hackern und anderen
> Angreifern ab?
> 
> Durch geeignete Konfiguration.
> 
> >Ich denke ich werde mir dies mal anschauen...
> >http://denyhosts.sf.net/
> >vielleicht ist das schon eine 90%ige Sicherung (neben
> dem normalen Updates einspielen versteht sich
> natürlich...)
> 
> Ich mach das gerne mit iptables, siehe
> http://blog.zugschlus.de/archives/688-fail2ban-fuer-ssh-fuer-Arme.html
> 
> Bringt natürlich die schon anderweitig erwähnten
> Potenziale für
> denial-of-service.
> 
> >- sshd (unabdinglich, aber ich will auch den daemon
> verstecken, der Angreifer wird kein DAU sein und kennt die
> Schwächen!)
> 
> Was willst Du damit?
> 
> >- SSH Port ändern 
> >(was ist mit Portscannern? Wie blocke ich die oder
> können die das nicht herrausfinden (also scannen)? Die
> haben bestimmt ein Refferer zum erkennen ähnlich wie die
> Webseitenripper)
> 
> Ein gründlicher Angreifer findet den ssh-Daemon auch auf
> einem anderen
> Port.
> 
> >- Name des root ändern in nicht-root 
> 
> Unsinn. Bleiben lassen.
> 
> >- Passwort schön lang, mit Sonderzeichen
> gr-/kleinschreibung
> 
> Von mir aus.
> 
> >- Fail2Ban
> 
> Was ganz ähnliches wie Denyhosts oder meine
> iptables-Tricks, braucht
> man IMO nur einen davon zu machen.
> 
> >(noch besser: root= normaler benutzer der in
> irgendeinem fakeordner landet, als Falle, auch dies kann
> ein versuchter illegaler Angrif sein, nurnoch hoffen das
> kein VPN benutzt und anzeigen)
> 
> Anfänger tendieren dazu, sich bei solchen Dingen
> hoffnungslos zu
> versteigen. Kannst Du gerne auch tun.
> 
> Bei mir sind üblicherweise nur eine Handvoll IP-Adressen
> überhaupt in
> der /etc/hosts.allow für ssh freigegeben (funktioniert nur
> wenn der
> Admin von einer festen IP-Adresse kommt), root-Login ist im
> sshd
> entweder komplett gesperrt (PermitRootLogin no) oder auf
> Keys mit
> definierten Kommandos (PermitRootLogin
> Forced-Commands-Only, für
> Backups etc praktisch) beschränkt, und der ssh-Login
> funktioniert nur
> mit Key und nicht mit Passwort (PasswordAuthentication No).
> 
> >Was kann ich dagegen tun, wenn sich jemand eingeloggt
> hat?
> 
> Dann ist der Schaden passiert.
> 
> >Wie logge ich die Aktivität also die Befehlseingabe
> 
> apt-get install snoopy
> 
> >(also ein artKeylogger, leider ist das wort von
> Trojanan in den Dreck gezogen) am besten an einem
> unbekannten Ort speichert.
> 
> Es gibt keine unbekannten Orte. Du kannst natürlich das
> Log über das
> Netz auf einen anderen Rechner schieben, aber das hat einen
> ganzen
> Rattenschwanz weiterer Herausforderungen.
> 
> >Am besten darf dies nicht als daemon laufen, da der
> ANgreifer dies merken könnte,
> >ich denke im www-verzeichnis wäre es super, so könnte
> ich mir das im Nachhinein runterladen (bitte weiterlesen...)
> 
> Wie soll das gehen?
> 
> >Ich kann dann:
> >-entweder Server resetten, also alles neu aufspielen
> ->Daten futsch
> 
> Du kannst natürlich vorher die Daten sichern.
> 
> >Ist es eigentlich legal, wenn ich jemanden bezahle, der
> meinem Server testet und da mit Portscanner usw. rangeht?
> 
> Klar. Das nennt sich Penetration Test und kostet bei
> angemessen
> qualifizierten Leuten Tagessätze ab 2000 Euro aufwärts.
> Und in einem
> Tag wird man eher nicht fertig.
> 
> Es gab da vor einem Jahr eine Gesetzesänderung, die solche
> Tests
> mindestens auf eine unsichere Grundlage stellt.
> 
> Black-Box-Penetration-Tests (das sind die, bei denen der
> bezahlte
> Angreifer vorher keine Informationen über den Server hat)
> bringen nach
> meinem Dafürhalten übrigens wenig bis gar nichts außer
> leet
> Hackeraura.
> 
> Grüße
> Marc
> 
> -- 
> -------------------------------------- !! No courtesy
> copies, please !! -----
> Marc Haber         |   " Questions are the         |
> Mailadresse im Header
> Mannheim, Germany  |     Beginning of Wisdom "     |
> http://www.zugschlus.de/
> Nordisch by Nature | Lt. Worf, TNG "Rightful
> Heir" | Fon: *49 621 72739834
> 
> 
> --
> Haeufig gestellte Fragen und Antworten (FAQ):
> http://www.de.debian.org/debian-user-german-FAQ/
> 
> Zum AUSTRAGEN schicken Sie eine Mail an
> debian-user-german-REQUEST@lists.debian.org
> mit dem Subject "unsubscribe". Probleme? Mail an
> listmaster@lists.debian.org (engl)


      __________________________________________________________
Gesendet von Yahoo! Mail.
Dem pfiffigeren Posteingang.
http://de.overview.mail.yahoo.com
Reply to: