- Registriert
- 3 Aug. 2014
- Beiträge
- 28.573
Hallo,
ich benötige für ein System ein möglich hoch abgeschottetes SSH, dazu setze ich auf Key Authenthication. Passwortzugriff ist grundsätzlich deaktiviert.
Die Keys sind mittel ssh-copy-id hinterlegt von Clients, die darauf zugreifen sollen.
Auch sind X11Forwarding, TCPForwarding, AgentForwarding, GatewayPorts deaktiviert und alles außer TTY ausgeschaltet. Auch der Login als Root ist abgeschaltet.
Zusätzlich sind "Rhotsts" deaktivert.
Damit fühle ich mich schon relativ sicher, das war auch eigentlich das, was ich bisher so lesen konnte. Die Quellen dazu sind aber verstreut und gerade nicht zur Hand. Finden sich aber schnell.
Eine weitere Überlegung wäre ein Chroot Environment, aber ich brauche unter Umständen auch Zugriff auf andere Funktionen die ich nur als "SuperUser" bekommen kann, wie etwas zu updaten, das heißt ich brauche mindestens von einem Client vollen Zugriff, weiß aber nicht ob man irgend eine per KeyUser-Basis machen kann.
Was mir jetzt einfallen würde, einen anderen User für den SuperUser Zugriff anzulegen, der sich dann auch als SuperUser anmelden kann. Geht das mit Chroot auf per User Basis oder gilt das komplett für ssh(d), zum Beispiel um "su" ausführen zu können?
Zweiter Punkt - ich habe einmal eine statische und mehrere dynamische Clients, die alle auf den Server zugreifen können sollen.
Known Hosts scheint ja eine fixe IP zu registrieren, falls man eine Prüfung der Known_Hosts Datei von sshd zulässt, das würde aber dann vermutlich nur die statische IP covern. Wie wäre hier am schlausten vorzugehen wenn ich auch dynamische Clients habe?
Vielleicht kann jemand noch etwas ergänzen, wenn euch mehr einfällt, was man unbedingt machen sollte.
Fail2Ban zum Beispiel und andere hatte ich im UbuntuWiki gesehen, mit denen man SSH noch schützen kann vor BruteforceAttacken.
Was neben Logging, damit man nicht nur die Zugriffe in "auth.log" hat, auch gut wäre, wenn man bei Einbruchsversuchen per Email benachrichtigt werden könnte, zum Beispiel mittels Vorgabe eines MailAccounts mit fixem Benutzernamen + Password, welcher über SSL läuft. Keine Ahnung ob das irgend ein System neben dem Aussperrren auch anbietet oder was man damit in Kombination machen könnte.
Und vielleicht noch eine Frage am Rande die eigentlich nichts mit dem Absichern zu tun hat, gibt es außer Putty noch andere Clients für Windows die man verwenden könnte?
ich benötige für ein System ein möglich hoch abgeschottetes SSH, dazu setze ich auf Key Authenthication. Passwortzugriff ist grundsätzlich deaktiviert.
Die Keys sind mittel ssh-copy-id hinterlegt von Clients, die darauf zugreifen sollen.
Auch sind X11Forwarding, TCPForwarding, AgentForwarding, GatewayPorts deaktiviert und alles außer TTY ausgeschaltet. Auch der Login als Root ist abgeschaltet.
Zusätzlich sind "Rhotsts" deaktivert.
Damit fühle ich mich schon relativ sicher, das war auch eigentlich das, was ich bisher so lesen konnte. Die Quellen dazu sind aber verstreut und gerade nicht zur Hand. Finden sich aber schnell.
Eine weitere Überlegung wäre ein Chroot Environment, aber ich brauche unter Umständen auch Zugriff auf andere Funktionen die ich nur als "SuperUser" bekommen kann, wie etwas zu updaten, das heißt ich brauche mindestens von einem Client vollen Zugriff, weiß aber nicht ob man irgend eine per KeyUser-Basis machen kann.
Was mir jetzt einfallen würde, einen anderen User für den SuperUser Zugriff anzulegen, der sich dann auch als SuperUser anmelden kann. Geht das mit Chroot auf per User Basis oder gilt das komplett für ssh(d), zum Beispiel um "su" ausführen zu können?
Zweiter Punkt - ich habe einmal eine statische und mehrere dynamische Clients, die alle auf den Server zugreifen können sollen.
Known Hosts scheint ja eine fixe IP zu registrieren, falls man eine Prüfung der Known_Hosts Datei von sshd zulässt, das würde aber dann vermutlich nur die statische IP covern. Wie wäre hier am schlausten vorzugehen wenn ich auch dynamische Clients habe?
Vielleicht kann jemand noch etwas ergänzen, wenn euch mehr einfällt, was man unbedingt machen sollte.
Fail2Ban zum Beispiel und andere hatte ich im UbuntuWiki gesehen, mit denen man SSH noch schützen kann vor BruteforceAttacken.
Was neben Logging, damit man nicht nur die Zugriffe in "auth.log" hat, auch gut wäre, wenn man bei Einbruchsversuchen per Email benachrichtigt werden könnte, zum Beispiel mittels Vorgabe eines MailAccounts mit fixem Benutzernamen + Password, welcher über SSL läuft. Keine Ahnung ob das irgend ein System neben dem Aussperrren auch anbietet oder was man damit in Kombination machen könnte.
Und vielleicht noch eine Frage am Rande die eigentlich nichts mit dem Absichern zu tun hat, gibt es außer Putty noch andere Clients für Windows die man verwenden könnte?
Zuletzt bearbeitet: