Ankündigung

Einklappen
Keine Ankündigung bisher.

Login mit SSH wie macht Ihr das?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Login mit SSH wie macht Ihr das?

    Hallo, ich wollte fragen wie macht Ihr das mit der Anmeldung auf dem Server mit SSH?

    Ich habe den direkten Rootlogin (als root) gesperrt.

    Dafür aber zwei Benutzer einmal für die Webseite (mit eingeschränkten Rechten) und ein anderer als Root (heißt aber anders) beide Benutzer verwenden unterschiedliche SSH-Keys.

  • #2
    Wenn du Root-Login verboten hast und public-key- statt Passwort-Login verwendest, ist das schon mal recht gut.
    Was ich immer gern mache, dass ich nach dem 1. Login via public-key, das Passwort ändere.

    Du kannst den Login per Passwort auch komplett abdrehen (sshd-config: PasswordAuthentication no).
    Dann darfst deine Keys aber nicht verlieren sonst kommst du nicht mehr auf den Server!

    Du kannst dir auch noch https://www.la-samhna.de/library/brutessh.html anschauen.

    Grüße.

    Kommentar


    • #3
      Ganz vergessen, Login per Passwort habe ich auch gesperrt.

      Kommentar


      • #4
        Ich ändere auch immer noch den Port vom SSH Server, dann hat man schon mal vor den meisten automatischen Skripten ruhe.

        Kommentar


        • #5
          Zitat von Zeichen32 Beitrag anzeigen
          Ich ändere auch immer noch den Port vom SSH Server, dann hat man schon mal vor den meisten automatischen Skripten ruhe.
          Ist so nicht richtig. Ist bisschen wie Kopf in den Sand stecken. Das Internet wird ausgeforscht, die finden den SSH Port. Das ist ein einfacher Port Scan, z. B. mittels nmap. Ob das legal ist oder nicht, interessiert den Ausforschern recht wenig...

          Kommentar


          • #6
            Zitat von Zeichen32 Beitrag anzeigen
            Ich ändere auch immer noch den Port vom SSH Server, dann hat man schon mal vor den meisten automatischen Skripten ruhe.
            Security by Obscurity? Ich finde es bedenklich sowas als Sicherheitgewinn zu verkaufen. Das ist nur Makulatur und vollkommen sinnfrei im Bezug auf Sicherheit!
            PHP-Manual ¡ mysql_* ist veraltet ¡ Debugging: Finde DEINE Fehler selbst ¡ Passwort-Hashing ¡ Prepared Statements

            Kommentar


            • #7
              Zitat von Zeichen32 Beitrag anzeigen
              Ich ändere auch immer noch den Port vom SSH Server, dann hat man schon mal vor den meisten automatischen Skripten ruhe.
              Auf Shodan.io lässt sich auch nach Service filtern, dann ist mir egal auf welchem Port der läuf

              Ports wechseln ist klassisches Security by Obscurity und bringt nichts ausser Probleme (es gibt Firmennetze, die dann ausgehenden Verkehr über zufällige Ports sperren. SSH nicht mehr auf 22, kein SSH mehr).
              [URL="https://github.com/chrisandchris"]GitHub.com - ChrisAndChris[/URL] - [URL="https://github.com/chrisandchris/symfony-rowmapper"]RowMapper und QueryBuilder für MySQL-Datenbanken[/URL]

              Kommentar


              • #8
                SSH und andere Ports lassen sich gut mit Fail2ban schützen.

                Kommentar


                • #9
                  Zitat von User0101 Beitrag anzeigen
                  SSH und andere Ports lassen sich gut mit Fail2ban schützen.
                  Bringt aber nichts, wenn der Angreifer ständig seine IP-Adresse wechselt. Ich habe bei meiner Firewall einfach den kompletten asiatischen Kontinent ausgesperrt und ein paar andere Schwellenländer. Seitdem ist es sehr ruhig geworden in den Logs für Login-Versuche...
                  Ich meine, es ist höchst unwahrscheinlich, dass mein Content für Asiaten interessant ist. Außerdem habe ich auch nicht vor irgendwas in diese Länder zu verkaufen. Von daher kann ich die für meinen Teil ruhig aussperren.
                  Vielleicht nicht die beste Lösung, aber was will man machen bei ständig wechselnden IP-Adressen, wenn man nicht eine Stange Geld für Intrusion Prevention ausgeben will...

                  Kommentar


                  • #10
                    Ich hab das nicht als Sicherheit verkauft, aber es hat sich als effektiv gezeigt. Natürlich sollte man den SSH Server zusätzlich absichern.
                    Fail2Ban hatte bei mir täglich teilweise bis zu 100 IP Adressen gesperrt, durch den Port wechsel sind es "nur noch" ~10 am Tag. Natürlich ist es nicht in an allen Fällen möglich, wie z.B. wie oben geschrieben in manchen Firmen Netzen.

                    Kommentar


                    • #11
                      Zitat von Zeichen32 Beitrag anzeigen
                      Ich hab das nicht als Sicherheit verkauft, aber es hat sich als effektiv gezeigt. Natürlich sollte man den SSH Server zusätzlich absichern.
                      Fail2Ban hatte bei mir täglich teilweise bis zu 100 IP Adressen gesperrt, durch den Port wechsel sind es "nur noch" ~10 am Tag. Natürlich ist es nicht in an allen Fällen möglich, wie z.B. wie oben geschrieben in manchen Firmen Netzen.
                      Wenn sshd nicht auf 22 lauscht, jedoch ein anderer/ähnlicher dienst kann die nicht nur nervig sein, sondern zusätzliche nützlicher informationen liefern.
                      es soll ja auch den ein poder anderen geben, welcher auch sshd nur innerhalb eines vpn zur Verfügung stellt, für sshd einen proxy nutzt welcher sehr genau gemonitored wird, es gibt vieles, um es bad guy so schwer wie möglich zu machen.

                      Hier wird nicht zu Unrecht zb. noch dazu geraten, das Banner abzuschalten:
                      http://www.hackingarticles.in/ssh-pe...sting-port-22/

                      eine Heimmaschine ist meiner Ansicht nach nach #2 schon relativ save, allerdings ist rechtzeitiges patchen wohl auch bei selten vorkommenden exploits wichtig.

                      Kommentar


                      • #12
                        Zitat von derwunner Beitrag anzeigen
                        [...] Ich habe bei meiner Firewall einfach den kompletten asiatischen Kontinent ausgesperrt und ein paar andere Schwellenländer. Seitdem ist es sehr ruhig geworden in den Logs für Login-Versuche.[...]
                        Auch eine sehr empfehlenswerte Einstellung! Ich habe z.B. bei unseren AWS-Maschinen Port 22 nur für die Firmen-eigene IP zugelassen. Wer nicht bei uns sitzt (oder in unserem VPN ist), bekommt kein Zugriff auf die Maschinen.

                        [URL="https://github.com/chrisandchris"]GitHub.com - ChrisAndChris[/URL] - [URL="https://github.com/chrisandchris/symfony-rowmapper"]RowMapper und QueryBuilder für MySQL-Datenbanken[/URL]

                        Kommentar


                        • #13
                          Zitat von derwunner Beitrag anzeigen

                          Ich meine, es ist höchst unwahrscheinlich, dass mein Content für Asiaten interessant ist. Außerdem habe ich auch nicht vor irgendwas in diese Länder zu verkaufen. Von daher kann ich die für meinen Teil ruhig aussperren.
                          Vielleicht nicht die beste Lösung, aber was will man machen bei ständig wechselnden IP-Adressen, wenn man nicht eine Stange Geld für Intrusion Prevention ausgeben will...
                          Verstehe ich nicht. Du verteilst deinen Content ja nicht auf Port 22/über SSH oder?

                          Ansonsten halte ich's so wie ChristianK, auf alle Maschinen die wir selbst verwalten kommen genau die ausgesuchten IPs auf den Port, und sonst keiner. Da kann nicht mal jeder in unserem VPN drauf.

                          Kommentar

                          Lädt...
                          X