|
burli
(Themenstarter)
Anmeldungsdatum:
27. April 2007
Beiträge: 9066
|
Lux schrieb: Ich habe ein ganzes Bündel an Artikel zu ssh geschrieben. Lies die einfach mal und probier das mit Deiner virtuellen Maschine aus.
Danke, werde ich tun.
Nein, das musst Du nicht. Du kannst Dich als User verbinden und dann als User auf dem Server mit "sudo -i" zu root werden. Es gibt überhaupt keine Notwendigkeit dafür, dass Du Dich als root via ssh anmelden musst.
Gut, dass ist der Punkt, der mich verwirrt. Soweit ich das sehe logge ich mich nicht als root ein sondern als User. Jedenfalls muss ich, wie auch lokal, mit sudo arbeiten. Wenn ein Angreifer aber das Passwort irgendwie erraten hat ist es doch egal, ob ich mit sudo oder sudo -i arbeite. Oder ist das so gemeint, dass man einen echten Root mit einem eigenen Passwort anlegen soll (den gibt es bei Ubuntu ja standardmäßig nicht) und der Login User keine sudo Rechte hat?
|
|
burli
(Themenstarter)
Anmeldungsdatum:
27. April 2007
Beiträge: 9066
|
bongobong schrieb: hm, ich verstehe die Sicherheitsbedenken bei DenyHosts nicht, es kommt doch keiner an die log-Dateien ran und auch wenn, hätte er ja nur in ganz bestimmten Fällen den Namen des Benutzers!?
Ich habe das hier im übrigen nebenbei mal ausprobiert. Es funktioniert tatsächlich. Ich hatte in der Datei /etc/hosts.deny einen Eintrag, der mir den SSH Zugang gesperrt hat. Es ist also weniger ein Sicherheitsproblem, welches Zugriff von fremden auf das System ermöglicht sondern eher die Gefahr, dass man aus seinem eigenen Server ausgesperrt wird [EDIT] bzw ein Angreifer könnte mittels Brute force einfach wahllos IP Adressen eintragen oder geziehlt IP Adressen z.B. von Google. Wenn ich das richtig sehe ist dann ja nicht nur ssh blockiert sondern sämtliche Dienste. Ein Angreifer könnte einem dann einfach wichtige IP Adressen eintragen um eine Indexierung von Suchmaschinen zu verhindern, ohne das man es bemerkt. Zumindest, wenn ich den Zweck von /etc/hosts.deny richtig verstanden habe
|
|
bongobong
Anmeldungsdatum:
12. Dezember 2008
Beiträge: 1820
|
Wie steht ihr zum ändern des Ports? Also man sollte einen Port über 1000 wählen wenn man ihn ändert aber dann hat das keine Nachteile? @burl Die meisten Angriffe gehen halt auf den Root-Account, fällt das schon mal weg.
|
|
burli
(Themenstarter)
Anmeldungsdatum:
27. April 2007
Beiträge: 9066
|
Ich hab mal eine ganz andere dumme Frage: welche Gefahren bestehen eigentlich für einen SSH Zugang, der mit keinen weiteren Maßnahmen geschützt wird? Ich geh mal einfach davon aus, dass man ein ausreichend sicheres Passwort verwendet
|
|
burli
(Themenstarter)
Anmeldungsdatum:
27. April 2007
Beiträge: 9066
|
bongobong schrieb: @burl Die meisten Angriffe gehen halt auf den Root-Account, fällt das schon mal weg.
Ahso, gerade mal ausprobiert. Gibt ja noch die Möglichkeit mit diesem Befehl ssh root@ip-adresse Ok, logisch, gerade bei Ubuntu kann man das dicht machen. Hab nicht daran gedacht, dass es ja den Root "eigentlich" noch gibt.
|
|
Lux
Anmeldungsdatum:
10. November 2005
Beiträge: 5152
|
burli schrieb: Gut, dass ist der Punkt, der mich verwirrt. Soweit ich das sehe logge ich mich nicht als root ein sondern als User. Jedenfalls muss ich, wie auch lokal, mit sudo arbeiten. Wenn ein Angreifer aber das Passwort irgendwie erraten hat ist es doch egal, ob ich mit sudo oder sudo -i arbeite.
Nein. Nur das Raten des Passworts reicht nicht. Er muss zusätzlich noch Deinen Schlüssel und das Passwort zu Deinem Schlüssel haben. Selbst wenn Dein lokaler Rechner gestohlen wird, hat ein Angreifer nicht automatisch Zugriff auf den root-Server.
Oder ist das so gemeint, dass man einen echten Root mit einem eigenen Passwort anlegen soll (den gibt es bei Ubuntu ja standardmäßig nicht) und der Login User keine sudo Rechte hat?
Nein, der root-User bekommt kein Passwort. Dirk
|
|
Lux
Anmeldungsdatum:
10. November 2005
Beiträge: 5152
|
bongobong schrieb: Wie steht ihr zum ändern des Ports? Also man sollte einen Port über 1000 wählen wenn man ihn ändert aber dann hat das keine Nachteile?
Das macht den Rechner nicht sicherer. Mit einem Port-Scanner wie nmap kann ich herausfinden, auf welchem Port der ssh-Daemon läuft. Gruss Dirk
|
|
Lux
Anmeldungsdatum:
10. November 2005
Beiträge: 5152
|
burli schrieb: Ich hab mal eine ganz andere dumme Frage: welche Gefahren bestehen eigentlich für einen SSH Zugang, der mit keinen weiteren Maßnahmen geschützt wird? Ich geh mal einfach davon aus, dass man ein ausreichend sicheres Passwort verwendet
Damit öffnest Du Menschen, die einfach alle Passwörter durchprobieren bis sie das richtige gefunden haben Tür und Tor. Dirk
|
|
burli
(Themenstarter)
Anmeldungsdatum:
27. April 2007
Beiträge: 9066
|
So, da habe ich schonmal viel gelernt. Zusammenfassend bin ich der Meinung, dass die Abschaltung des Root und die Verwendung von KeyFiles eine ausreichende Sicherheit bieten. Zusätzliche Maßnahmen wie fail2ban und Denyhosts können eher schaden als nutzen. Was noch eine zusätzliche Maßnahme wäre, die mir aus einem Chat genannt wurde, ist die Möglichkeit, z.B. generell alle ausländischen Hosts zu verbieten beziehungsweise sogar nur den Zugang eines bestimmten Hosts wie z.B. über DynDNS zu erlauben. Zumindest die Sperrung von ausländischen Hosts könnte doch durchaus sinnvoll sein. Was haltet ihr davon?
|
|
Lux
Anmeldungsdatum:
10. November 2005
Beiträge: 5152
|
burli schrieb: Was haltet ihr davon?
Abstand. Machst Du manchmal Urlaub im Ausland? Benutzt Du Mobilfunk als Internet-Zugangsmöglichkeit? Was passiert, wenn DynDNS ausfällt? Gruss Dirk
|
|
burli
(Themenstarter)
Anmeldungsdatum:
27. April 2007
Beiträge: 9066
|
Lux schrieb:
Machst Du manchmal Urlaub im Ausland?
Mein letzter Urlaub war 2001. Und was mach ich, wenn ich vier Wochen im Krankenhaus liege? Dann ist es egal, von wo ich Zugriff habe und wo nicht
Benutzt Du Mobilfunk als Internet-Zugangsmöglichkeit?
Nein. Aber selbst wenn, sollte das doch in den deutschen IP Raum fallen.
Was passiert, wenn DynDNS ausfällt?
Was passiert, wenn mein DSL Anschluss ausfällt? Oder der Akku vom Mobilgerät leer ist und keine Steckdose in der Nähe ist? Man kann genug Szenarien erfinden und irgendwann ist es am besten, sich mit einem Hut aus Alufolie auf dem Kopf im Keller einbetonieren zu lassen. Irgendwo muss man einfach eine Grenze ziehen Aber zumindest die Sperrung von ausländischen IPs könnte viele Angriffe verhindern
|
|
Lux
Anmeldungsdatum:
10. November 2005
Beiträge: 5152
|
burli schrieb: Mein letzter Urlaub war 2001. Und was mach ich, wenn ich vier Wochen im Krankenhaus liege? Dann ist es egal, von wo ich Zugriff habe und wo nicht
Du weichst ab.
Benutzt Du Mobilfunk als Internet-Zugangsmöglichkeit?
Nein. Aber selbst wenn, sollte das doch in den deutschen IP Raum fallen.
Nicht unbedingt. Vodafone ist kein deutscher Provider, E-Plus kommt auch aus dem Ausland, wie auch O2. Du musst nicht zwangsweise eine "deutsche IP" bekommen.
Was passiert, wenn mein DSL Anschluss ausfällt? Oder der Akku vom Mobilgerät leer ist und keine Steckdose in der Nähe ist?
Na, ja. DynDNS hatte erst vorgestern einen Ausfall. Vor ein paar Wochen hatte der DENIC einen Ausfall.
Aber zumindest die Sperrung von ausländischen IPs könnte viele Angriffe verhindern
Das Absichern des Systems verhindert Angriffe, alles andere verschleiert nur. Ich wohne in der Schweiz und habe Zugriff auf root-Server in einigen verschiedenen Ländern, darunter auch Deutschland. Wenn ich dich hacken wollte, könnte ich auf einen deutschen Server einloggen und von dort angreifen ... Dirk
|
|
burli
(Themenstarter)
Anmeldungsdatum:
27. April 2007
Beiträge: 9066
|
Lux schrieb:
Ich wohne in der Schweiz und habe Zugriff auf root-Server in einigen verschiedenen Ländern, darunter auch Deutschland. Wenn ich dich hacken wollte, könnte ich auf einen deutschen Server einloggen und von dort angreifen ...
Naja, du gehst von gezielten manuellen Angriffen aus, ich denke eher an automatisierte Angriffe z.B. aus Botnetzen
|
|
Lux
Anmeldungsdatum:
10. November 2005
Beiträge: 5152
|
burli schrieb: Naja, du gehst von gezielten manuellen Angriffen aus, ich denke eher an automatisierte Angriffe z.B. aus Botnetzen
Gerade für die lohnt sich das nicht, weil sich die Botnetze über die ganze Welt erstrecken und ebenfalls Nodes in Deutschland betreiben. Gruss Dirk
|
|
bongobong
Anmeldungsdatum:
12. Dezember 2008
Beiträge: 1820
|
So habe ich übrigens gestern meinen Server neu installiert:
1. ## Benutzer anlegen
sudo adduser benutzername
sudo deluser --remove-home benutzername
2. ## SSH-Konfigurieren
/etc/ssh/sshd_config
PermitRootLogin auf no
sudo /etc/init.d/ssh restart
2.1 evtl. Port ändern
2.2 Schlüssel erzeugen & auf server kopieren:
ssh-keygen -t rsa
ssh-copy-id -i ~/.ssh/id_rsa.pub root@server.net
2.3 Anmeldung nur noch über Schlüssel erlauben:
/etc/ssh/sshd_config
PasswordAuthentication no
UsePAM no
sudo /etc/init.d/ssh reload
3. ## Apache installieren
sudo apt-get install apache2
4.1 evtl. Aktivieren des userdir Modules
sudo a2enmod userdir
sudo /etc/init.d/apache2 reload
4. ## PHP5 installieren
sudo apt-get install php5
5.1 Apache & MySQL Anbindung
sudo apt-get install libapache2-mod-php5 php5-mysql
5. ## MySQL installieren
sudo apt-get install mysql-server
Was sollte man denn nun als nächstes in Punkto Sicherheit machen, nachdem SSH abgesichert ist?
|