PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : OpenSSH mit ldap oder x509?



Neutrino_2003
05.01.12, 05:37
Hallo liebe Gemeinde :)

Ich hätte ein paar Fragen zu Serversicherheit, doch hier erstmal nur ssh...

Welche Sicherheiten sind mir bis dato bekannt...?
Passwort-Authentifizierung (mir bekannt; ähnlich wie localer Login)
PubKey-Authentifizierung (strebe ich an, root-login wird disabled, man kann ja auf dem Server zu beliebiger Zeit root werden - Anzustreben: Grösstmögliche Bitrate für die Keys)

Nun las ich heute, bzw wurde durch Testen an meiner Übungsplatform (für meinen Root später) auf ein weiteres mögliches Verfahren aufmerksam:

X.509 CACert-Authentification.

Im Internet fand ich einige Seiten - gar nicht schlechte HowTo´s darüber.

Nur wurde dies meist für Leute mit einigen verschiedenen Roots empfohlen. Bzw: Wenn es dutzende Pub und Private-Keys zu verwalten gilt.

Wie ist dazu Eure Einschätzung?
Also wenn ich die Sache mit SSH angehe:


wird Port garantiert nicht '22' sein... (bzw. bei erstem SSH-Login auf x geändert)
werde 8192 bit Algo (wenns geht - noch höher) wählen...
die Keys erzeugen...
auf dem Server einloggen...
Password-Auth disablen und Key dort hinterlegen...

Nutzt ihr X509? Also ich bin ja noch nicht DER Root-Experte (daher habe ich ja bei mir die Testplattform mit allem drum und dran aufgesetzt) doch kann ich mir irgendwie (noch) nicht vorstellen, warum ich noch eine X509 haben muss...

Anbei hätte ich noch eine Frage zu "X" in Verbindung mit SSH:

Ich kann openSSH (habe gentoo) mit oder ohne 'X' Unterstützung kompilieren.

Darüber las ich, das 'X' in diesem Falle eine 'X' - Weiterleitung (X-Forwarding) darstellt...

Nur da auf dem Root kein X laufen wird, denke ich das ich auch hier auf der testumgebung X als Useflag disablen kann, oder? Ich habe jedenfalls noch keinen Linux-Server mit X gesehen ;) (gut, meine testplatform hat jetzt X - klar - nur die ist ja auch nicht im RZ am offenen Inet) Ohne X wär ich beim gleichzeitigen Arbeiten und im Inet lernen etwas aufgeschmissen ;)

Gruß
Neutrino_2003

derRichard
05.01.12, 12:47
hi!

x509 tu ich mir bei ssh nicht an.
es gibt grenzen. ;)

ich verwende ssh public-keys auf servern.
wobei ich das rootlogin fast nie deaktiviere, weil wenn ich mir auf einem server einlogge, dann nur zum administrieren.
da müsste ich entweder immer gleich mit su root werden oder vor _jedem_ befehl sudo schreiben...

wegen ssh würde ich mir nicht so viele sorgen machen.
deaktiviere das login via passwort und gut ist.

die meisten root-server werden nicht über ssh geknackt.

//richard

Neutrino_2003
05.01.12, 20:08
Hallo derRichard :)

Danke Dir für Deine schnelle Antwort (und - Beruhigung :D )

Ich dachte schon, 'jetzt darf ich mir dafür auchnoch Zertifikate erstellen und die ellenlange ssh_config bearbeiten... (Ohne das CACert ist sie - wenn ich so sagen darf - DOCH viel angenehmer zu verstehen und zu lesen... :rolleyes:

Auf meiner Testplatform hab mich schon letzte Woche mit diesen CACerts 'vergnügt':

2vhosts ohne ssl
2vhosts mit ssl (namensbasiertes ssl-vhosting) - IP-basiertes habe ich auch mal getestet - doch das hat 'Nebenwirkungen' wenn ich hier an ein und dem selben Router 2 NW-Interfaces mit 2 versch. statische lokale IPs betreibe, jedoch über den ein und den selben Gateway (192.168.x.x) rausgehe :(

Doch das Namensbasierte klappt auch ganz gut: Zum Testen reichts dicke aus. Ging mir eigentlich sowieso nur darum, die Funktionsweise zu verstehen. (mir sicherer zu sein in dem was ich tu, wenn ich dasselbe im Root machen muss).

Dann kann ich also im Root-Server (wenn ich ihn die nächsten Wochen angehe) Root-Login also anlassen... Gut, das PW-Login mach ich direkt raus... Das blieb nun für den Moment drin, bis ich weiss, das ich per PubKey Problemlos reinkomme (2te Session gleichzeitig)...


die meisten root-server werden nicht über ssh geknackt.

Aber? Also was ich mir vorstellen könnte:


Serversoft veraltet
Exploite


Was ich noch gerne wüsste, sorry, vielleicht passt es nicht ganz zum Thema...

Ich weiß nicht, ob ich auf dem Root eine ssl-Seite machen soll oder eine normale http:// ...

Die Seite, die ich vorhab zu bauen wird eine teils kommerzielle/teils freie. Services zum Beispiel. Daher hab ich auch im andern Thread schonmal wegen dem Mailsvr vor'gefühlt'. Ich denke, einen Kunden wird es evtl freuen, wenn er eine grüne Adresszeile sieht, die ihm über Souveränität 'mitteilt', wenn er die Site betritt... Gut, ein solches Cert ist nicht ganz so preiswert, doch (in meiner jetzigen Blauäugigkeit) fänd ichs nicht übel...

Gruß
Neutrino_2003