[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Danke f�r die Antworten! (SSH-Absicherung ...)
[Thread Prev] | [Thread Next]
- Subject: Danke f�r die Antworten! (SSH-Absicherung ...)
- From: Stephan Gromer <Stephan.Gromer@xxxxxx>
- Date: Tue, 5 Jul 2005 23:28:37 +0200
- To: uugrn@xxxxxxxxxxxxxxx
Hallo liebe Listenteilnehmer, Ich moechte mich bei allen bedanken die mir entweder auf einer der beiden Listen oder aber per PM Vorschlaege unterbreitet haben, wie ich zumindest das konkrete Rechnerproblematik verbessern kann. Da ich die Anfrage ja schamlos auf zwei Listen gepostet habe wollte ich die Vorschlaege und Infos hier kurz zusammenfassen, da mit alle die es ebenfalls interessiert vielleicht etwas davon haben. a) Mehrfach vorgeschlagen wurde root-Logins per ssh zu verbieten und die Nutzer einzugrenzen Dazu Modifikation von /etc/ssh/sshd_config: AllowGroups gruppe1 gruppe2 ... AllowUsers user1 user2 ... PermitRootLogin no Das hat schon mal wunderbar geklappt (eintragen, sshd neustart, NICHT von Remote!). Der SSH-Client fragt jetzt zwar noch nach einem Passwort fuer einen nicht in dieser Liste eingetragenen User, bricht dann aber ab (was eigentlich gar nicht schlecht ist. So hat der Angreifer weniger die Moeglichkeit sich zielgerichet auf einen "gefundenen" User bei der Passwortsuche "einzuschiessen") b) SSH-Port nicht auf dem Standardport lassen Dieser Vorschlag vermindert sicher einen Teil der Angriffe. Allerdings muss ich feststellen das die Ports inzwischen auch im hohen Bereich abgesucht werden. c) Port-Knocking http://www.portknocking.org z.b. http://doorman.sourceforge.net. Das habe ich selbst noch nicht probiert, habe aber einen Artikel dazu in der c't gelesen. Fuer mich ein sehr guter Ansatz und wird wahrscheinlilch noch verwirklicht. Problem ist aber der Urlaub, wo ich schon froh bin in einem Internetcafe ueberhaupt SSH-Zugang zu bekommen (meist darf man ja nicht mit dem eigenen Rechner ran) d) Zugang ueber VPN an Uniserver und dann von dort aus SSH Bei VPN ist das Problem wieder der Urlaub... e) SSH-Zugriff ueber IP-Tables nur von vertrauten Subnetzen zulassen. evtl. in Kombi mit dem von mir ja schon angesprochenen Zugriffsverbot nach 43-4 Versuchen fuer 1 Stunde Fuer mich in Kombination mit einem Zugriff ueber SSH auf Uniserver und damit indirekt eine Moeglichkeit die auch urlaubsfaehig waere. f) Meine Frage nach Verschlueselung Der Geschwindigkeitsverlust von 15-20% wurde bestaetigt. Fuer mein Problem aber wohl keine gute Idee, da der Angreifer wenn ja bereits Zugriff hat (home muss frei sein fuer User nach Passwort). Die Sicherheit des Backups wurde zudem fuer problematisch erachtet. Oefter gefragt wurde ich nach der Art der Angriffe. Bisher scheinen sie nicht zielgerichtet, da bis auf "root" keiner der vergebenen Nutzernamen verwendet worden zu sein scheint. Moment sind es also offenbar noch recht einfache Skripte die mehr oder minder automatisiert auf ein paar Rechnern laufen. Allerding sind die meisten davin offenbar nicht von Dial-up-Rechnern sondern von gehackten Servern ausgehend. Eben dies machte mir Sorgen, weil die im Prinzip beliebig lange Zeit haben, sich meinem Rechner zu "widmen" (ein Rechner hat es z.B. mit ueber 2500 Versuchen probiert). Kurzum im Moment ist das Risiko durch diese automatischen Tools wahrscheinlich recht gering, aber ich doch froh darueber mir unter diesen Umstaenden gedanken darueber gemacht zu haben, bevor jemand mit clevereren Ideen und gezielter Versuche startet (letztlich bin ich ebebn nur "Nebenerwerbs"-Admin (wie wohl die meisten an de Uni). Nochmal ganz, ganz herzlichen Dank an alle die geantwortet haben und alle die sich zumindest Gedanken gemacht haben. Liebe Gruesse Stephan -- Stephan Gromer, MD. PhD. Work: Biochemie-Zentrum Heidelberg / Im Neuenheimer Feld 504 / D-69120 Heidelberg / Tel.: +49 (6221) 544291 / Fax.: +49 (6221) 545586 Home: Sternallee 89 / D-68723 Schwetzingen / Tel.: +49 (6202) 855038 Mobil: +49 (172) 7694555 / URL: http://www.gromer-online.de