PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH->Scheitern eines Portwechsels



LarsThorwald
20.11.07, 20:56
Hallo zusammen,

ich experimentiere gerade mit einem Heise Artikel aus der C't Special 03/2007 rum. Dort wird auch ssh besprochen. Es wird dort empfohlen, ssh weg vom Port 22 zu verlegen, was ja auch Sinn macht.

Nun habe ich die Datei /etc/ssh/sshd_config geöffnet und den Port wie folgt geändert.


Protocol 2
#Port 22
Port 40000
#AddressFamily any

Mit rcsshd restart habe ich ssh neu gestartet. Nun bekomme ich aber absofort unter Putty/Windows schon beim Verbindungsaufbaut(!) die Fehlermeldung, das ich kein Zugriff bekomme. Natürlich habe ich auch den Port 40000 angegeben. Ohne Erfolg

Ein
nmap localhost bringt folgendes zu Tage:

PORT STATE SERVICE
25/tcp open smtp
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp


Entferne ich wieder die Zeile mit Port 40000 und führe anschließend ein rcsshd restart aus, so zeigt mir nmap dann folgendes an:

PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp

So funktioniert es wieder.

Wieso wird die Angabe Port 40000 nicht akzeptiert?

Ich benutzte SUSE 10.3

Gruß
Lars

Tomek
20.11.07, 21:12
Es wird dort empfohlen, ssh weg vom Port 22 zu verlegen, was ja auch Sinn macht.
Warum? Welchen Sinn hat das genau?


Ein
nmap localhost bringt folgendes zu Tage:

PORT STATE SERVICE
25/tcp open smtp
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
631/tcp open ipp

Nmap prüft standardmässig nur die Ports 1-1023. Benutze besser lsof:

lsof -i :40000

eule
20.11.07, 21:20
oder -p verwenden

LarsThorwald
20.11.07, 21:57
Warum? Welchen Sinn hat das genau?


Nmap prüft standardmässig nur die Ports 1-1023. Benutze besser lsof:

lsof -i :40000

Nun, wenn standardmäßig irgendwelche Tools Port 22 bezüglich ssh abklopfen, dann ist es schon besser, zumindestens ein bißchen auszuweichen.

lsof kannte ich noch gar nicht. Danke für den Hinweis.

Übrigens habe ich den Fehler gefunden. Habe ein Fehler beim Putty gemacht :ugly:

Tomek
20.11.07, 22:00
Nun, wenn standardmäßig irgendwelche Tools Port 22 bezüglich ssh abklopfen, dann ist es schon besser, zumindestens ein bißchen auszuweichen.
Wieso ist das besser? Was bringt das an Sicherheit?

Im Forum Sicherheit (http://www.linuxforen.de/forums/forumdisplay.php?f=36) gibt es bereits zahlreiche Themen dazu. Auch solltest du dir folgenden Wikipedia-Artikel durchlesen:
http://de.wikipedia.org/wiki/Security_through_obscurity

LarsThorwald
20.11.07, 22:24
Wieso ist das besser? Was bringt das an Sicherheit?

Im Forum Sicherheit (http://www.linuxforen.de/forums/forumdisplay.php?f=36) gibt es bereits zahlreiche Themen dazu. Auch solltest du dir folgenden Wikipedia-Artikel durchlesen:
http://de.wikipedia.org/wiki/Security_through_obscurity

Nunja, da streiten sich die Geister ;) Ich persönlich finde es so, das beide Seiten recht haben.

Ich hätte da noch ne weitere Frage zu ssh. Vielleicht kannst Du mir da auch weiterhelfen.

In der sshd_config habe ich
PasswordAuthentication no gesetzt. Der Hintergrund ist jener, das ich mich nur noch mit Schlüssel per ssh anmelden möchte. Auch nach rcsshd restart kann ich mich weiterhin mit dem Passwort per ssh anmelden. Mal abgesehen von den Schlüsseln, müßte ich eigentlich nicht eine Meldung in Putty erhalten, das ein PasswortLogin nicht möglich sei?

Gruß
Lars

Tomek
20.11.07, 22:36
Ich glaube, dass es noch notwendig ist, folgende Option zu setzen:

UsePAM no
Bin mir jetzt aber nicht sicher.

choener
22.11.07, 03:34
Ich glaube, dass es noch notwendig ist, folgende Option zu setzen:

UsePAM no
Bin mir jetzt aber nicht sicher.

Wer Pam nutzt und das für SSH nicht möchte muss diese Option wählen, ja. Ist auch besser so, da der grösste Teil der normalen Login-Passwörter grauenhaft schlecht ist. ;)

LarsThorwald
22.11.07, 18:56
Wer Pam nutzt und das für SSH nicht möchte muss diese Option wählen, ja. Ist auch besser so, da der grösste Teil der normalen Login-Passwörter grauenhaft schlecht ist. ;)

Was ist denn eigentlich PAM genau?

Gruß
Lars

Tomek
22.11.07, 20:23
Da: http://de.wikipedia.org/wiki/Pluggable_Authentication_Modules

LarsThorwald
22.11.07, 21:56
Da: http://de.wikipedia.org/wiki/Pluggable_Authentication_Modules

Danke!


. Mal abgesehen von den Schlüsseln, müßte ich eigentlich nicht eine Meldung in Putty erhalten, das ein PasswortLogin nicht möglich sei?



Ich glaube, dass es noch notwendig ist, folgende Option zu setzen:

UsePAM no
Bin mir jetzt aber nicht sicher.

In der Tat muß UsePAM auf no gesetzt sein. Dann ist eine Anmeldung über ein Passwort nicht mehr möglich. Habe es gerade frisch ausprobiert :)

Gruß
Lars