Du bist nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: DeveloperTalk. Falls dies dein erster Besuch auf dieser Seite ist, lies bitte die Hilfe durch. Dort wird dir die Bedienung dieser Seite näher erläutert. Darüber hinaus solltest du dich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutze das Registrierungsformular, um dich zu registrieren oder informiere dich ausführlich über den Registrierungsvorgang. Falls du dich bereits zu einem früheren Zeitpunkt registriert hast, kannst du dich hier anmelden.

Falki14

Anfänger

  • »Falki14« ist der Autor dieses Themas

Beiträge: 18

Registrierungsdatum: 02.07.2011

  • Private Nachricht senden

1

04.07.2011, 23:26

SSH-Zugang Absichern

Guten Abend liebe Developertalk-Community,

ich habe mal eine Frage und zwar habe ich den SSH2-Zugang von unseren Server folgender Maßen bis jetzt abgesichert:

- Root-Login Ausgeschaltet
- Es darf sich nur EIN bestimmter Benutzer Account beim SSH Anmelden
- Keine Passwortabfrage sondern das geht über Zertifikate

Findet ihr dieses Ausreichend oder würdet ihr mir trotzdem noch was empfehlen?

Mit freundlichen Grüßen

Falki14

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Falki14« (04.07.2011, 23:32)


Drakor

Fortgeschrittener

Beiträge: 204

Registrierungsdatum: 30.06.2011

Danksagungen: 105

  • Private Nachricht senden

2

04.07.2011, 23:32

Ich würd dir noch Port-Knocking empfehlen. Ist im Prinzip eines der besten Dinge, die du machen kannst.

Siehe: http://de.wikipedia.org/wiki/Portknocking


Wenn du den Anklopfvorgang dann noch verschlüsselt und gegen MITM gesichert bekommst, ist das eigentlich total in Ordnung.
Gruß
Drakor

Christian

Fortgeschrittener

Beiträge: 371

Registrierungsdatum: 23.06.2011

Wohnort: Lilienthal

Beruf: Schüler

Danksagungen: 83

  • Private Nachricht senden

3

04.07.2011, 23:36

klar portknocking bringt bei vielen Diensten etwas, aber bei SSH ist das wenn man keine PW's sondern SSH-keys nutzt, überflüssig weil das damit schon dicht genug ist.

Christian

Zitat

Windows kann entgegen vieler behauptungen kein Virus sein. Denn Viren funktionieren normalerweise und tun etwas Sinnvolles
Wenn Beiträge Hilfreich waren drücke bitte den Bedanken Knopf drücken.

Kein Support per PN oder Mail, wir haben für jede Frage den passenden Bereich.

Falki14

Anfänger

  • »Falki14« ist der Autor dieses Themas

Beiträge: 18

Registrierungsdatum: 02.07.2011

  • Private Nachricht senden

4

04.07.2011, 23:45

Hmm klingt nicht schlecht. Mal gucken gibts sonst noch irgendwelche Vorschläge?

Mit freundlichen Grüßen

Falki14

εδε

Schüler

Beiträge: 77

Registrierungsdatum: 29.06.2011

Wohnort: /home/ede

Beruf: Student

Danksagungen: 27

  • Private Nachricht senden

5

05.07.2011, 06:35

Das reicht eigentlich vollkommen, sofern dein Schlüsselpaar lang genug ist. 512 Bit gilt nicht mehr als sicher - Ich nutze für meinen Server 2048 Bit Schlüssel.
Du kannst natürlich noch auf Spielereien zurückgreifen, wie Zugriff nur über eine bestimmte IP zulassen, etwa eine dynamische IP, oder ein zusätzlicher Sprungbrettserver, aber ich denke das würde den Rahmen sprengen und die Sicherheit nicht maßgeblich erhöhen.

Edit: Falls dich letztes doch interessiert, hier ein Beitrag dazu: http://www.rz.uni-wuerzburg.de/dienste/i…ngbrettrechner/
Weitere Informationen bzgl SSH-Absicherung von der Uni Würzburg: http://www.rz.uni-wuerzburg.de/dienste/i…rn_des_zugangs/

Achja, um die Logs etwas zu entlasten: Ändern den Port, auf dem SSH lauscht ;)

So sieht meine sshd_config aus:

Spoiler Spoiler


# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port XXXX
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 30
PermitRootLogin no
StrictModes yes

RSAAuthentication no
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

# Kerberos options
KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

MaxStartups 10:30:60
Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp internal-sftp

AllowUsers ede

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM no


"Die Mehrheit bringt der Mathematik Gefühle entgegen, wie sie nach Aristoteles durch die Tragödie geweckt werden sollen, nämlich Mitleid und Furcht. Mitleid mit denen, die sich mit der Mathematik plagen müssen, und Furcht, daß man selbst einmal in diese gefährliche Lage geraten könne."


Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »εδε« (05.07.2011, 09:49)


Falki14

Anfänger

  • »Falki14« ist der Autor dieses Themas

Beiträge: 18

Registrierungsdatum: 02.07.2011

  • Private Nachricht senden

6

06.07.2011, 22:02

Ja wir benutzen auch einen 2048bit Schlüssel. Alles klar vielen Dank für deine SSH Config werde meine mal anpassen.

Mit freundlichen Grüßen

Falki14