sshd

Post Reply
Message
Author
andreas78
Posts: 34
Joined: 30. Aug 2004 20:23

sshd

#1 Post by andreas78 »

hi,

folgende Voraussetzungen:
Ich betreibe einen Suse9.0 prof. PC als Gateway zwischen dem internem Netzwerk und dem Internet. Ich MUß ein SSH-Login von extern zulassen, da darüber ein Tunnel auf den internen Mail-Server aufgebaut wird.

Mein Problem:
Da es Probleme mit der Zertifikats-Authorisation aus z.B. Asien gibt mußte ich erst mal auf normale Passwort-Authorisation umstellen. Damit funktioniert auch alles ohne Probleme.

Ich möchte es aber nicht erlauben das sich root vom Internet einloggen kann (verständlicherweise). Andererseits steht der Rechner im Keller. Ein Root-Login vom internen Netzwerk wäre also sehr Praktisch. Gibt es da irgendwelche Möglichkeiten oder hat jemand eine alternative parat?

PS: letztens hatte ich einen Ping aus Singapore von ca. 500ms.

mfg
Andreas

joersch

#2 Post by joersch »

Mahlzeit,
ch möchte es aber nicht erlauben das sich root vom Internet einloggen kann (verständlicherweise). Andererseits steht der Rechner im Keller. Ein Root-Login vom internen Netzwerk wäre also sehr Praktisch. Gibt es da irgendwelche Möglichkeiten oder hat jemand eine alternative parat?
sehr vernüftig:
sshd_config:
PermitRootLogin no

wenn du dich dann als user xxx eingeloggt hat, hindert dich keiner daran, dich per su
zum root zu machen

Gruss

andreas78
Posts: 34
Joined: 30. Aug 2004 20:23

#3 Post by andreas78 »

hi,

wenn man's mal genau nimmt, ist su nicht genau genommen auch eine Sicherheitslücke???

mfg
andreas

joersch

#4 Post by joersch »

Mahlzeit,
wenn man's mal genau nimmt, ist su nicht genau genommen auch eine Sicherheitslücke???
ja ....
aber dann ist das einloggen als beliebiger user auch eine sicherheitslücke:
man kann ja dann anfangen, verwundbare programme zu suchen und sich zum root machen...
eigentlich ist dann der rechner mit seinen diensten auch schon verwundbar, wenn die dienste von "aussen" (internet) erreichbar sind ...

zurück zum thema: kannst du das "erreichbar sein" auf ip-(bereiche) einschränken?
dann kann man diese ip's auf sshd per iptables erlauben, andere zugriffe sperren

Gruss

andreas78
Posts: 34
Joined: 30. Aug 2004 20:23

#5 Post by andreas78 »

hi,

nee auf ip-adress-bereiche kann ich's nicht einschränken, da die betreffenden in Asien und USA unterwegs sind. Das einzigste was ich überlege ist ein shell-script was die log-datein abfragt(geht das überhaupt gleichzeitig lesend mit dem syslogd??) auf fehlerhafte login-versuche

mfg
andreas

joersch

#6 Post by joersch »

Mahlzeit,

ansehen:
http://www.portknocking.org/

und mal eine meinung äussern!

Gruss

andreas78
Posts: 34
Joined: 30. Aug 2004 20:23

#7 Post by andreas78 »

hi,

irgend wie krieg ich bei dem wortlaut "Port knocking is a method of establishing a connection to a networked computer that has no open ports " etwas angst. Ich muß mir das mal genau durchlesen.

mfg
andreas

joersch

#8 Post by joersch »

Mahlzeit,

im grunde genommen ist es das, was du oben schon selbst machen wolltest:

klopfe eine sequenz von anfragen in einer bestimmten reihenfolge an bestimmte ports
und dir wird aufgetan ;-) dh zugriff auf andere ports (bei dir 22) erlauben

Gruss

Post Reply