[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Danke f�r die Antworten! (SSH-Absicherung ...)


Hallo liebe Listenteilnehmer,

Ich moechte mich bei allen bedanken die mir entweder auf einer der
beiden Listen oder aber per PM Vorschlaege unterbreitet haben, wie ich
zumindest das konkrete Rechnerproblematik verbessern kann.
Da ich die Anfrage ja schamlos auf zwei Listen gepostet habe wollte
ich die Vorschlaege und Infos hier kurz zusammenfassen, da mit alle
die es ebenfalls interessiert vielleicht etwas davon haben.

a) Mehrfach vorgeschlagen wurde root-Logins per ssh zu verbieten und
die Nutzer einzugrenzen
Dazu Modifikation von /etc/ssh/sshd_config:
 AllowGroups gruppe1 gruppe2 ...
 AllowUsers user1 user2 ...
 PermitRootLogin no

Das hat schon mal wunderbar geklappt (eintragen, sshd neustart, NICHT
von Remote!). Der SSH-Client fragt jetzt zwar noch nach einem Passwort
fuer einen nicht in dieser Liste eingetragenen User, bricht dann aber
ab (was eigentlich gar nicht schlecht ist. So hat der Angreifer
weniger die Moeglichkeit sich zielgerichet auf einen "gefundenen" User
bei der Passwortsuche "einzuschiessen")

b) SSH-Port nicht auf dem Standardport lassen
Dieser Vorschlag vermindert sicher einen Teil der Angriffe. Allerdings
muss ich feststellen das die Ports inzwischen auch im hohen Bereich
abgesucht werden.

c) Port-Knocking
http://www.portknocking.org z.b. http://doorman.sourceforge.net. Das
habe ich selbst noch nicht probiert, habe aber einen Artikel dazu in
der c't gelesen. Fuer mich ein sehr guter Ansatz und wird
wahrscheinlilch noch verwirklicht. Problem ist aber der Urlaub, wo ich
schon froh bin in einem Internetcafe ueberhaupt SSH-Zugang zu bekommen
(meist darf man ja nicht mit dem eigenen Rechner ran)

d) Zugang ueber VPN an Uniserver und dann von dort aus SSH
Bei VPN ist das Problem wieder der Urlaub...

e) SSH-Zugriff ueber IP-Tables nur von vertrauten Subnetzen zulassen.
evtl. in Kombi mit dem von mir ja schon angesprochenen Zugriffsverbot
nach 43-4 Versuchen fuer 1 Stunde
Fuer mich in Kombination mit einem Zugriff ueber SSH auf Uniserver und
damit indirekt eine Moeglichkeit die auch urlaubsfaehig waere.

f) Meine Frage nach Verschlueselung
Der Geschwindigkeitsverlust von 15-20% wurde bestaetigt. Fuer mein
Problem aber wohl keine gute Idee, da der Angreifer wenn ja bereits
Zugriff hat (home muss frei sein fuer User nach Passwort). Die
Sicherheit des Backups wurde zudem fuer problematisch erachtet.


Oefter gefragt wurde ich nach der Art der Angriffe. Bisher scheinen sie
nicht zielgerichtet, da bis auf "root" keiner der vergebenen
Nutzernamen verwendet worden zu sein scheint. Moment sind es also
offenbar noch recht einfache Skripte die mehr oder minder
automatisiert auf ein paar Rechnern laufen. Allerding sind die meisten
davin offenbar nicht von Dial-up-Rechnern sondern von gehackten
Servern ausgehend. Eben dies machte mir Sorgen, weil die im Prinzip
beliebig lange Zeit haben, sich meinem Rechner zu "widmen" (ein
Rechner hat es z.B. mit ueber 2500 Versuchen probiert).
Kurzum im Moment ist das Risiko durch diese automatischen Tools
wahrscheinlich recht gering, aber ich doch froh darueber mir unter
diesen Umstaenden gedanken darueber gemacht zu haben, bevor jemand mit
clevereren Ideen und gezielter Versuche startet (letztlich bin ich
ebebn nur "Nebenerwerbs"-Admin (wie wohl die meisten an de Uni).

Nochmal ganz, ganz herzlichen Dank an alle die geantwortet haben und
alle die sich zumindest Gedanken gemacht haben.

Liebe Gruesse
 Stephan

-- 
Stephan Gromer, MD. PhD.
Work: Biochemie-Zentrum Heidelberg / Im Neuenheimer Feld 504 / D-69120
      Heidelberg / Tel.: +49 (6221) 544291 / Fax.: +49 (6221) 545586
Home: Sternallee 89 / D-68723 Schwetzingen / Tel.: +49 (6202) 855038
      Mobil: +49 (172) 7694555 / URL: http://www.gromer-online.de