Archiv verlassen und diese Seite im Standarddesign anzeigen : Security by Obscurity: SSHD version verbergen
Nachdem mein Firewall ziemlich dicht ist, musste ich feststellen, dass der einzige, offene Port - ssh - sich einwenig zu viel über das System ausblabbert. Nessus erkennt "ssh-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1", was mir des guten zu viel ist...
Nun zur Frage: Lässt sich das irgendwie beeinflussen, ohne gleich neu zu kompilieren?
Gruss, Andy
joey.brunner
23.04.03, 15:40
folgende dinge kannst ja mal auf no setzten in der sshd_config
printmotd
printlastlog
banner sollte auch nicht gesetzt sein
hilfts ?
joey
Du könntest auch sshd auf einen anderen Port verschieben.
Solltest Dir allersdings merken welchen.
Aber das ist eben auch nur obskur
joey.brunner
23.04.03, 17:40
dann erkennt man es aber immernoch am banner
joey
hm Aber wenn der Angreifer einen Portbereich eingrenzt ...
Die Banner-Frage habe ich selber schon mal gestellt.
Kann man den String nicht auch beim Kompilieren ändern?
joey.brunner
23.04.03, 18:03
ja kannst ueber den KOMPLETTEN String einen sed laufen lassen
joey
Ich hab nochmals nachgeschaut. strings /usr/sbin/sshd liefert auch schön den entsprechenden String. Mit xxd hab ich dann den String verändert. Bisher ist es mir noch nicht gelungen, über das Netzwerk das Binary zu ersetzen, ich muss wohl mal in den Keller und Tastatur/Bilschirm anschliessen. Komischerweise läuft das Binary, wenn ich parallel einen zweiten Server laufen lasse...
Naja, ist eh nur security by obscurity. Da der ssh sowieso auf einem anderen Port läuft, wird das die meisten Scrippt-kiddy-Tools ins leere laufen lassen...
Gruss, Andy
@RapidMax
Auch ssh auf einem anderen Port laufen löassen ist Security by Obscurity :D
Aber mal wieder zum Thema zurück: Hast du nach dem ändern des Strings den sshd auch neu gestartet?
jep, ich habe es zumindest versucht. Wie gesagt, ich bin faul und will es übers Netz machen, da ich sonst in den Keller muss :ugly:
Ok, ich war im Keller, obwohl es überhaupt nicht nötig war.
Genauste Untersuchungen des init-scripts haben ergeben, dass ich das nächste mal auch die obersten 2 Zeilen anschauen soll :rolleyes:
Da wird nähmlich auf OpenSSH geprüft.
Jetzt funktioniert es. Danke für die Tips.
Apropos: Klar ist das verschieben des Ports SbO. Es geht mir eigenlich nur darum, bei einer neuen Lücke nicht gleich im ersten Port-Scan aufzutauchen.
Gruss, Andy
Also Nmap erkennt ssh-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1 nicht mehr?
Welche Version von Nmap benutzt Du?
Denn Nmap findet solche Informationen ja nicht nur über Banner etc. sondern auch über Fingerprinting heraus. Allerdings weiß ich so spontan nicht ob Nmap mitels Fingerprinting nur die vercshiedenen Betriebssysteme und deren Versionen oder auch laufende Dienste unterscheiden kann - also in deinem Fall welche Version von Open SSH läuft.
Ein sehr gutes HowTo zu Finderprinting:
http://www.insecure.org/nmap/nmap-fingerprinting-article-de.html
Super interessant!
cane
joey.brunner
24.04.03, 08:21
er meinte nessus... nessus weiss, dass es ein ssh - daemon ist. nmap schaut nur auf den dienst.. legst du ssh nun auf 8221 so wird es als unknown auftauchen
joey
sorry
bezüglich der Kernelpatches die das verhindern - kannst du Namen nennen?
cane
joey.brunner
24.04.03, 08:29
fuer welche version 2.2 oder 2.4?
joey
Wenn Du mich so fragst: Sowohl als auch;)
Aber eher 2.4.19
joey.brunner
24.04.03, 10:48
dann kannst du das bereits mit den iptables regeln...
joey
aonsten grp
joy
du meinst connection tracking?
Also dass nur eingehende Packete die zu vom Rechner ausgegangenen Anfragen gehören durchgelassen werden?
joey.brunner
24.04.03, 13:01
nein, ich meine, das fingerprinting von nmap be*******en
joey
Bin zu müde - ist nicht mein Tag heute...
Ich geh erstmal Kaffee holen...
cane
joey.brunner
24.04.03, 15:15
lol, die typische IT Krankheit -- kaffee
joey
Ich sag nur immer Kaffee holen - trinken tu ich Cappucino;)
cane
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.