Nachdem mein Firewall ziemlich dicht ist, musste ich feststellen, dass der einzige, offene Port - ssh - sich einwenig zu viel über das System ausblabbert. Nessus erkennt "ssh-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1", was mir des guten zu viel ist...

Nun zur Frage: Lässt sich das irgendwie beeinflussen, ohne gleich neu zu kompilieren?

Gruss, Andy

folgende dinge kannst ja mal auf no setzten in der sshd_config
printmotd
printlastlog

banner sollte auch nicht gesetzt sein

hilfts ?

joey

Du könntest auch sshd auf einen anderen Port verschieben.
Solltest Dir allersdings merken welchen.

Aber das ist eben auch nur obskur

dann erkennt man es aber immernoch am banner

joey

hm Aber wenn der Angreifer einen Portbereich eingrenzt ...

Die Banner-Frage habe ich selber schon mal gestellt.

Kann man den String nicht auch beim Kompilieren ändern?

ja kannst ueber den KOMPLETTEN String einen sed laufen lassen

joey

Ich hab nochmals nachgeschaut. strings /usr/sbin/sshd liefert auch schön den entsprechenden String. Mit xxd hab ich dann den String verändert. Bisher ist es mir noch nicht gelungen, über das Netzwerk das Binary zu ersetzen, ich muss wohl mal in den Keller und Tastatur/Bilschirm anschliessen. Komischerweise läuft das Binary, wenn ich parallel einen zweiten Server laufen lasse...

Naja, ist eh nur security by obscurity. Da der ssh sowieso auf einem anderen Port läuft, wird das die meisten Scrippt-kiddy-Tools ins leere laufen lassen...

Gruss, Andy

@RapidMax
Auch ssh auf einem anderen Port laufen löassen ist Security by Obscurity :D

Aber mal wieder zum Thema zurück: Hast du nach dem ändern des Strings den sshd auch neu gestartet?

jep, ich habe es zumindest versucht. Wie gesagt, ich bin faul und will es übers Netz machen, da ich sonst in den Keller muss :ugly:

Ok, ich war im Keller, obwohl es überhaupt nicht nötig war.

Genauste Untersuchungen des init-scripts haben ergeben, dass ich das nächste mal auch die obersten 2 Zeilen anschauen soll :rolleyes:

Da wird nähmlich auf OpenSSH geprüft.

Jetzt funktioniert es. Danke für die Tips.

Apropos: Klar ist das verschieben des Ports SbO. Es geht mir eigenlich nur darum, bei einer neuen Lücke nicht gleich im ersten Port-Scan aufzutauchen.

Gruss, Andy

Also Nmap erkennt ssh-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1 nicht mehr?
Welche Version von Nmap benutzt Du?
Denn Nmap findet solche Informationen ja nicht nur über Banner etc. sondern auch über Fingerprinting heraus. Allerdings weiß ich so spontan nicht ob Nmap mitels Fingerprinting nur die vercshiedenen Betriebssysteme und deren Versionen oder auch laufende Dienste unterscheiden kann - also in deinem Fall welche Version von Open SSH läuft.

Ein sehr gutes HowTo zu Finderprinting:
http://www.insecure.org/nmap/nmap-fingerprinting-article-de.html

Super interessant!

cane

er meinte nessus... nessus weiss, dass es ein ssh - daemon ist. nmap schaut nur auf den dienst.. legst du ssh nun auf 8221 so wird es als unknown auftauchen

joey

sorry

bezüglich der Kernelpatches die das verhindern - kannst du Namen nennen?

cane

fuer welche version 2.2 oder 2.4?

joey

Wenn Du mich so fragst: Sowohl als auch;)
Aber eher 2.4.19

dann kannst du das bereits mit den iptables regeln...

joey

aonsten grp

joy

du meinst connection tracking?
Also dass nur eingehende Packete die zu vom Rechner ausgegangenen Anfragen gehören durchgelassen werden?

nein, ich meine, das fingerprinting von nmap be*******en

joey

Bin zu müde - ist nicht mein Tag heute...
Ich geh erstmal Kaffee holen...

cane

lol, die typische IT Krankheit -- kaffee

joey

Ich sag nur immer Kaffee holen - trinken tu ich Cappucino;)

cane