Gefahr bei offenem ssh port?

Post Reply
Message
Author
christian
Posts: 238
Joined: 13. Jul 2001 11:29
Contact:

Gefahr bei offenem ssh port?

#1 Post by christian »

Hallo zusammen.

Ich brauche eine Möglichkeit meinen Linux Server fernzuwarten.
Testweise habe ich den Port 22 für SSH geöffnet.

Glaubt ihr, daß das eine zu hohes Sicherheitsrisiko darstellt?
Oder vielleicht habt ihr auch andere Vorschläge.
Sicher gibt es auch noch die Möglichkeit das per Modemeinwahl zu machen.
Erstens habe ich keine Modem (ok, ich könnte mir natürlich auch eine kaufen) und
zweitens ist die Methode von ssh wesentlich einfacher.

Was meint ihr dazu?

Gruß
Christian :)

BO

Re: Gefahr bei offenem ssh port?

#2 Post by BO »

ich denke mal, die sicherheit hängt in erster linie von der wahl deiner verwendeten passwörter ab.
außerdem solltest du drauf achten, immer den aktuellen sshd installiert zu haben.

ich glaube mal gehört/gelesen zu haben, dass man mit 'vbox' sowas nach folgendem schema machen kann:

server muss am telefonnetz hängen (isdn/modem)
man ruft den server von einem MFV-fähigen telefon aus an, gibt eine pin-nummer ein und der server startet dann den sshd (oder macht sonst irgendwas ;))
wenn man fertig ist mit administrieren -> /etc/init.d/sshd stop
und fertig ;)

Rossi

Re: Gefahr bei offenem ssh port?

#3 Post by Rossi »

Und natürlich "root login" verbieten und mit einwem "normalem" Benutzer anmelden und mittels "su" Wurzelrechte erlangen.

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: Gefahr bei offenem ssh port?

#4 Post by max »

@Rossi

Das höre ich oft, mittels su als root zu spielen.
War mir aber nicht ganz klar warum...
1. bei su geht das root-Passwort genauso verschlüsselt durchs Netz als wenn man sich als root direkt einloggt.
2. es muss erstmal einen USer mit Shell geben. Es gibt mit Sicherheit mehr lokale Exploits als für einen gut gepflegten sshd. Siehe auch letzten sshd-Exploit, der überhaupt nur mit lokalen Usern klappte.
Also was spricht dagegen sich direkt als root einzuloggen??
Lasse mich auch gerne überzeugen...
Gruss aus Bochum
Max

BO

Re: Gefahr bei offenem ssh port?

#5 Post by BO »

naja, wenn du dich erst als user einloggst, und dann per su zu root wirst, muss der mögliche angreifer erst mal das pw vom user knacken und dann noch das root-pw. ist also noch eine hürde.

das argument mit den lokalen exploits: dazu muss er erstmal das user-pw knacken um drauf zu kommen.

1. beispiel: ssh-login als root erlaubt
bösewicht knackt root-pw und spielt den lieben gott auf deinem rechner
ende

2. beispiel: ssh-login nur als user erlaubt
bösewicht knackt user-pw und loggt sich ein - jetzt muss erstmal der exploit funktionieren!
wenn man die relevanten security-bugfixes per onlineupdate regelmäßig einspielt, dürfte das schwer fallen - einen server zu administrieren bedeutet verantwortung tragen, darunter fällt auch, security-löcher zu fixen


in meinen augen ist es durchaus sicherer, sich erst als user anzumelden und dann zu "su - root"en

christian
Posts: 238
Joined: 13. Jul 2001 11:29
Contact:

Re: Gefahr bei offenem ssh port?

#6 Post by christian »

Ok, root login oder auch nicht.
Wie groß ist die warscheinlichkeit das "jemand" über diesen offenen Port Zugang zum Server erreicht?
Können loginnamen und Passwörter irgendwie geknackt werden?

Wenn ich nur daran denke, wie man mittels LC3 eine NT Domäne in Sekunden ausgelesen hat, gibt mir das etwas zu denken.

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: Gefahr bei offenem ssh port?

#7 Post by max »

was ist lc3?
NT Domänen waren früher ein Witz (vor SP3) da gingen die SMB-Passwörter im Klartext raus.
ssh2 verschlüsselt Passwörter mit rsa oder dsa, das gilt als sicher genug solange du nicht auf der Liste vom NSA stehst <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle"> (s. google und div. verschwörungstheorien)
Im Ernst: ich behaupte mit nötigen Geldern und Wissen ist alles Knackbar.
Ist nur eine Frage des Aufwandes.
gültigen account-Name zu bekommen ist eine Sache, das zugehörige Passwort die nächste.
Habe schon gesehen das einer als Admin Passwort admin genommen hat. Selbst schuld!
Also Passwort >8 Zeichen mit Ziffern und unterschiedlicher Groß-Kleinschreibung, keine Passwörter aus dem Duden oder Brockhaus. Auch nicht 1234abcd u.ä.
Immer aktuellen sshd und wenn möglich IP-Beschränkung.

Noch was zum User-Login. Ich habe die Erfahrung gemacht das die Passwörter von normalen Benutzer-Accounts nicht sicher genug sind.
Dann wird mal mit diesen User Mail abgeholt oder etwas per ftp übertragen, alles Sachen die root nicht macht. Wenn der User dann eine shell hat ist der Rest gelaufen.
Denn wer hat schon sein System (HandaufsHerz) so sicher gemacht das der User wirklich nicht auf den Server nur das machen kann was er wirklich _muss_ Ich kenne nur 2 Systeme wo der USer noch nicht einmal ps,w oder cd /etc machen kann.
Oder andersrum, bei ausreichender Passwort-Stärke ist Brute-Force auf ssh sehr unwahrscheinlich.
In der Zeit die man bräuchte ist bestimmt die nächste ssh Version draussen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Ich gebe aber zu, ein extra User mit einen gejailten ~-Verzeichnis, der nur für das ssh einloggen da ist, wäre es sicherer als direkt per root.

BO

Re: Gefahr bei offenem ssh port?

#8 Post by BO »

<blockquote><hr>
was ist lc3?
<hr></blockquote>

http://www.atstake.com/research/lc3/

christian
Posts: 238
Joined: 13. Jul 2001 11:29
Contact:

Re: Gefahr bei offenem ssh port?

#9 Post by christian »

Ok, werde mir deine Worte zu Herzen nehmen.

Frage noch zum SSH. Gibt es da eine zentrale Konfigdatei?
Habe gerade bemerkt, daß im Standard ein root login möglich ist.
Den würde ich dann doch gerne abstellen.

Danke für die Tips.

CU
Christian :)

BO

Re: Gefahr bei offenem ssh port?

#10 Post by BO »

wo liegen config-files? unter /etc

wie heißt das programm/der dienst? ssh(d)

man schaue also unter /etc/ssh/ ;)

Rossi

Re: Gefahr bei offenem ssh port?

#11 Post by Rossi »

Außerdem wird "su" gelogged - du kannst also leichter verfolgen, wer sich wann mittels su angemeldet hat (/var/log/sulog im allgemeinen) - ist leichter als /var/log/messages zu durchsuchen. Würde auch "auth" auf eine eigene Logdatei legen.

Weiter, es geht darum, das ein root login nicht geht ist, nicht darum, das Du dich als Benutzer anmeldest.

Wenn root login verboten ist, kann z.B.: keine Brute-Force Attacke auf das root Passwort gefahren werden - da _jedes_ Passwort ungültig ist, selbst wenn das richtige dabei wäre.

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: Gefahr bei offenem ssh port?

#12 Post by max »

>Wenn root login verboten ist, kann z.B.: keine Brute-Force Attacke auf das root Passwort gefahren >werden - da _jedes_ Passwort ungültig ist, selbst wenn das richtige dabei wäre.

_das_ ist ein echtes Argument.
Wie schon gesagt, wenn extra nur zum einloggen ein User dafür angelegt wird, der kein ftp oder pop macht, ok. Wäre auf jeden Fall sicherer...

christian
Posts: 238
Joined: 13. Jul 2001 11:29
Contact:

Re: Gefahr bei offenem ssh port?

#13 Post by christian »

Was mich jetzt noch interessieren würde ist, wie siehts der Datenverkehr aus?
Ich bin ein neugieriger Mensch und ich will SEHEN, das mit Telnet alles im Klartext und mit SSH verschlüsselt.
Was würdet ihr vorschlagen wie und mit welchem Werkzeug ich das am besten überprüfen kann?

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: Gefahr bei offenem ssh port?

#14 Post by max »

tcpdump für puristen,
sniffit oder Co. für alle anderen ;<!--no-->-)
google oder sourceforge sind dein Freund...
Gruss Max

Post Reply