Hallo Comunity,

um etwas mehr Sicherheit auf einen Server zu bringen haben ich den defaultPort des sshd umgeändert. Leider habe ich festgestellt, dass ein Portscan leider bei manchen Ports verrät welcher Dienst auf welchem Port läuft.

Kann ich das bei ssh irgendwo deaktivieren?

Danke für eure Hilfe

Gruss

Wenn es Dir nur um SSH geht, gibt es verschiedene Möglichkeiten die Sicherheit zu erhöhen. Ein Stichwort wäre z.B. Portknocking.
Wenn SSH nur einem kleinen Teil von Nutzern zur Verfügung stehen soll, wäre eine Möglichkeit über iptables nur Verbindungen von euren IPs zum SSHd zu erlauben.

Zum absichern von SSH gibt es zig Anleitungen, einfach mal suchen wenn Dir die obenstehenden Tips nicht reichen :)

Wenn SSH nur einem kleinen Teil von Nutzern zur Verfügung stehen soll, wäre eine Möglichkeit über iptables nur Verbindungen von euren IPs zum SSHd zu erlauben.


daran hatte ich auch schon gedacht, leider hab ich keine Festeip mit der ich auf den Server zugreife, anfangs hatte ich es mit DynDns gelöst und jede stunde das FW script neu starten lassen. Das war mit mit der zeit aber echt zu aufwendig. Daher habe ich den Port umgelgt jetzt muss der Dienst nur noch still sein dann würde es passen.

... jetzt muss der Dienst nur noch still sein dann würde es passen.
Ein Dienst, der "still" ist, ist NICHT zu erreichen ;)
Also nochmal zum Verständnis:
Dich stört, dass portscans nicht nur "port offen" anzeigen, sondern auch noch, was da für ein Dienst läuft?
Nun... Das tun sie aber nur, wenn der Dienst auch auf dem Standard-Port läuft! ;)

Was könntest du dennoch zum absichern tun? Nun... Wie gesagt wurde, gibt es darüber schon ein paar Themen (nicht per PW, sondern per Schlüssel authentifizieren u.s.w.)

Ich sehe das aber so:
Wenn deine Passwörter komplex genug sind, hast du nur sehr wenig zu befürchten ;)

MfG Mr_Maniac

Dazu brauchst Du keine feste IP. Die meisten Provider vergeben Portranges wo die ersten beiden Blöcke meistens statisch sind. Dann kann zwar jeder aus Deinem IP Bereich den Port sehen, aber das ist nur ein kleiner Teil.

Wie oben schon geschrieben, wäre Portknocking das nachdem Du suchst.

Nun... Das tun sie aber nur, wenn der Dienst auch auf dem Standard-Port läuft!

Hmm dann versteh ich net warum er dennoch seine versions nr usw. preis gibt :(

Mir ist gerade die idee gekommen einfach nach meiner Mac adress in iptables zu filtern, das sollte gehen und ich schließe damit auch den Portrange aus. Oder spricht vielleicht doch etwas dagegen woran ich jetzt nicht gedacht habe?

Gruß
Michael

Hmm dann versteh ich net warum er dennoch seine versions nr usw. preis gibt :(


weil das zum ssh-protokoll gehört? als ident-string muss vom server beim connect "SSH-<major>.<minor>-<version>" zurückgegeben werden. <version> kann alles mögliche sein, wird nicht überprüft. bei openssh kann man in versions.h den string anpassen.


-j

also ich bekomme beim Portscan auf den Port 21675 (mein SSH-Port auf dem Server in der Firma) nur ein

PORT STATE SERVICE
21657/tcp open unknown

Oder was meinst du?

Hmm dann versteh ich net warum er dennoch seine versions nr usw. preis gibt :(

Mir ist gerade die idee gekommen einfach nach meiner Mac adress in iptables zu filtern, das sollte gehen und ich schließe damit auch den Portrange aus. Oder spricht vielleicht doch etwas dagegen woran ich jetzt nicht gedacht habe?

Gruß
Michael

also wenn dein server im inet ist, ist das mit der mac-adresse eine sehr schlechte idee... funktioniert nicht, und du sperrst dich damit ziemlich sicher aus... mac ist osi layer 2, inet ist osi layer 3... somit weiß das inet nicht welche mac du hast...

greetz

Oder was meinst du?

$ telnet localhost 22
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
SSH-2.0-OpenSSH

Protocol mismatch.
Connection closed by foreign host.


-j

Ja hast recht mit dem Mac Filter habe ich doch etwas übersehen :D Dank dir.

Ich werde mich dann wohl mit Portnocking beschäftigen Danke für eure Hilfe :)

Nun... Das tun sie aber nur, wenn der Dienst auch auf dem Standard-Port läuft! ;)
[...]
MfG Mr_Maniac

Quatsch.
Deaktiviere z.B. ICMP Echo Requests.
Dann sehen wenigstens nur Leute den Port, die mehr als die nmap-Standardparameter kennen...

SCNR
Kai

Nun... Das tun sie aber nur, wenn der Dienst auch auf dem Standard-Port läuft! ;)
...und der Pilot dreht um und fliegt zurück. ;)


Deaktiviere z.B. ICMP Echo Requests.
Wieso sollte er den "ping" deaktivieren?


Dann sehen wenigstens nur Leute den Port, die mehr als die nmap-Standardparameter kennen...
man Security by Obscurity

PS: Ja, dein SCNR hab ich gelesen. ;)