PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH-Absichern... ausreichend?



smartysmart34
04.06.07, 09:57
HAllo zusammen,

ich betreibe bei mir zuhause einen Server, auf dem ich ssh gerne über Port-Forwarding und dyndns öffnen möchte. Ich bin in Sicherheoitsfragen nicht der Spezialist und möchte mal die Profis hier fragen, ob ich alles getan habe, oder ob man die Sicherheit noch verbessern kann.

Ich habe:
- Debian 4.0 und apt-get update / upgrade liefert mir keine offenen Korrekturen. (nur stable)
- Ich habe die PKI-Authentifizierung aktiviert, Passworteingabe wurde abgeschaltet
- Der Key musste auf nur 1024-Bit begrenzt werden, weil scheinbar ein 2048-bit Schlüssel unter der Windows-SSH-Software nicht richtig tut
- Den SSH-Port habe ich auf einen Wert > 4000 geschoben in der Hoffnung, den billigsten und einfachsten Scans aus dem Weg zu gehen.

Auf dem Router sind sonst keine Ports offen / geforwared.

Was fällt Euch denn noch ein, was man tun könnte? Ist eine der Maßnahmen vielleicht eher quatsch (Port)?

Danke und Gruß,
Martin

othan
04.06.07, 10:05
ich habe meinen ssh dienst so eingerichtet:

- keine pki auth (war bisher zu faul zum einrichten)
- kein root login erlaubt
- nur benutzer x y z dürfen sich anmelden
- Port weg vom std. port

seither hatte ich beim durchchecken der logs keinen fremden "loginversuch" mehr :)

beim std. Port hatte ich fast täglich hunderte von loginversuchen aus japan, england und den usa :)

eule
04.06.07, 13:17
ich halte othans Variante fuer sicher genug, wenn man nicht gerade den Vornamen seines Dackels als Passwort benutzt. Der verlegte Port bringt nicht unbedingt mehr Sicherheit, sondern haelt im Wesentlichen die Logfiles sauber.

ricci007
04.06.07, 13:42
Wie funktioniert das mit der PKI-Authentifizierung, smartysmart34. Kannst du das ein wenig erlaeutern, das waere super!

Zu dem 1024 Bit langem asymmetrischen Key kann ich sagen, dass du fuer ca. 35 Mio. Euro Rechenzeit mieten muesstest, um die Zahl innerhalb eines Monats zu faktorisieren. Mit einem Aufwand eines Clusters mit ca. 100 CPUs zu je 3 GHz Leistung sollte es abgeschaetzt innerhalb von 12-24 Monaten machbar sein, den 1024 Bit langen RSA-Schluessel zu knacken.

Uebrigens verwende ich hier nur mind. 2048 Bit lange Schluessel (es sind auch einige doppelt so lang [in der Anzahl der Bitstellen :-)]), das geht unter Windows z. B. mit winscp oder putty einwandfrei!

$kuLL
04.06.07, 14:23
Für einen Homeserver mit DSL-Anschluss reicht ein nicht-triviales Passwort völlig zu. Alles andere ist völlig überzogen und bringt mich immer zum Schmunzeln wenn ich sowas wie oben lese ;)

Oder zeigt mir bitte einen halbwegs vernünftigen potentiellen Angreifer der sich an einem SSH Port mit mieser Anbindung, dessen IP sich am nächsten Tag wahrscheinlich geändert hat und hinter der er höchstwahrscheinlich einen Pentium 133MHz mit 64MB RAM zu erwarten hat, die Zähne ausbeißen würde.

Einer reicht mir ;)

ricci007
04.06.07, 14:25
Es gibt auch Leute mit einer festen IP-Adresse :-) und keiner Zwangstrennung ^^. Wie schon weiter oben geschrieben, einfach mal den Standard-Port verwenden und die Logfiles pruefen (-:.

$kuLL
04.06.07, 14:35
Das mag sein, aber ich bezog mich auf smartysmart34, der von "[...] zuhause [...] Server [...] dyndns [...]" sprach.

ricci007
04.06.07, 14:41
Naja, sicher ist eben, dass nichts sicher ist und selbst das ist nicht sicher :-) .

smartysmart34
04.06.07, 15:37
Naja, wenn man sich mit einem Thema beschäftigen will, dann muß man irgendwo anfangen. Es gibt ja auch Leute, die arbeiten auf einen Root-Server hin, und denen sagt man immer: Lern erst mal zuhause. Und wenn, dann will ich zumindest das mit vertretbarem Aufwand machbare auch erreichen.
Da hinter meinem Router (leider derzeit ohne DMZ) neben meinem Server auch mindestens ein Desktop und sporadisch 2-3 Notebooks hängen, wäre ein erfolgreicher Angreifer nicht nur auf dem Server, sondern im Netz unterwegs. Und da will ich einfach ein bisschen aufpassen.

Zu PKI-Frage: Wenn man nach ssh, pki und linux sucht, kommen eigentlich schon die besten Treffer auf der ersten Seite (google). Im Wesentlichen:
- ssh-Key erzeugen
- Das public key file auf den Server hochladen und im Home-Verzeichnis des anzumeldenden USers unter ~/.ssh/authorized_Keys (oder authorized_keys2, je nach Release und Distri). anhängen.
- Dabei auf das Format insbes. zwischen Win/Lin aufpassen (EOL/LF). Putty-Keys sind nicht zu OpenSSH kompatibel sondern müssen im Format angepasst werden.
Danach einmal testen und bei Erfolg in sshd_conf die PAsswortauthentifizierung ausschalten. Wenn die ersten Klippen mal umrundet sind geht das innerhalb von 3 Minuten.

Gruß,
Martin