Hintertür bei Änderungen an sshd_conf

R

Ruth

New Member
Hallo!


Ich möchte die Einstellungen in meiner sshd_conf ändern. Nun habe ich aber gelesen, dass sich hierbei schon mancher selbst ausgesperrt hat. In diesem Zusammenhang wurde der Tipp gegeben, seine letzte SSH-Sitzung offen zu halten. Ich weiß nun aber nicht, ob ich das auch richtig verstanden habe. :confused:


Ich baue eine SSH-Sitzung auf und ändere hierin die sshd-conf. Anstatt mich hiernach wie gewöhnt auszuloggen, lasse ich diese Konsole nun aber einfach offen. Statt dessen wechsele ich z.B. in ein anderes Benutzerkonto, öffne dort ein neues Terminal und versuche, eine neue SSH-Sitzung aufzubauen.

Und wenn das nicht klappt, gehe ich in die erste Konsole zurück, wo die SSH-Sitzung trotz der Änderungen an der sshd_conf immer noch aktiv ist, und kann dort alles wieder rückgängig machen? :rolleyes:


Nach den Änderungen muss ich doch auch noch die Konfigurationsdatei neu einlesen bzw. den ssh-Dämon neu starten lassen. Leider habe ich keine Infos dazu gefunden, wann Ersteres ausreicht bzw. Letzteres erforderlich ist.

Und bleibt meine "Hintertür" (erste SSH-Sitzung) auch in beiden Fällen offen?


Mit freundlichen Grüßen

Ruth
 
Ruth said:
Ich baue eine SSH-Sitzung auf und ändere hierin die sshd-conf. Anstatt mich hiernach wie gewöhnt auszuloggen, lasse ich diese Konsole nun aber einfach offen. Statt dessen wechsele ich z.B. in ein anderes Benutzerkonto, öffne dort ein neues Terminal und versuche, eine neue SSH-Sitzung aufzubauen.

Und wenn das nicht klappt, gehe ich in die erste Konsole zurück, wo die SSH-Sitzung trotz der Änderungen an der sshd_conf immer noch aktiv ist, und kann dort alles wieder rückgängig machen? :rolleyes:
Click to expand...
Richtig. Wobei es kein anderer Benutzer sein muss. Ein anderes Terminal reicht aus.

Alternativ schreibst du einen kurzen Cron- oder At-Job, der deine Sicherheitskopie der sshd_config wieder einspielt und den SSH-Daemon neustartet.
 
"Kenne" ich. Dann würde noch ein Dienst oder zumindest Programm mehr auf meinem Server laufen. Neige da doch etwas zu Paranoia. ;)

Zur Not kann ich doch noch das Rescue-Programm meines Providers nutzen, das ein neues Image aufspielt, oder? Abgesehen davon, dass dann alles weg ist, müsste das doch immer gehen? :confused:


Ich habe nun den Root-LogIn untersagt und den Port in den 5-stelligen Bereich verschoben. Dazu einen einfachen Nutzer angelegt, über den man sich via su Root-Privilegien sichern kann. Den "LogIn" für den einfachen Benutzer werde ich noch mit einem Schlüssel mit Passphrase versehen.

Den ssh-agent werde ich nicht verwenden, sondern die Passphrase stets per Hand eintippen. Mir behagt nicht, dass die Passphrase irgendwo auf dem Rechner liegt. Andererseits könnte ein KeyLogger auch die Passphrase mitkriegen. Ist die Frage, was wahrscheinlicher ist. :confused:

Ich denke mal, viel sicherer kriegt man den sshd wohl nicht hin oder? :confused:


Mit freundlichen Grüßen

Ruth
 
Ruth said:
Dann würde noch ein Dienst oder zumindest Programm mehr auf meinem Server laufen.
Click to expand...
Webmin kann man auch "sicher" machen und vor allem: Man kann ihn ausschalten, wenn man sich sicher ist, daß man ihn momentan nicht braucht.

Neige da doch etwas zu Paranoia. ;)
Click to expand...
Das merkt man, wenn man dann weiter ließt. :)

Den ssh-agent werde ich nicht verwenden
Click to expand...
Je nach dem: Wenn Du sicher bist, daß nur Du an Deinem Rechner sitzt und Du den immer ausschaltest, wenn Du den Arbeitsplatz verlässt, oder oder oder...

Andererseits könnte ein KeyLogger auch die Passphrase mitkriegen.
Click to expand...
Die Passphrase per Keylogger mit zu lesen reicht ja nicht. Man muß schon auch den Key dazu haben.

Aber ganz ehrlich:
Du wiegst Dich hier nur in falscher Sicherheit.
Die meisten Angriffe geschehen eh über den Webbrowser und Schwachstellen in irgendwelchen Scripten.

huschi.
 
Kleiner Scherz: ich würde den Login nur von einer bestimmten IP zulassen und mich dann so lange beim ISP neu einwählen, bis ich genau diese IP habe.. ;-9
 
You must log in or register to reply here.
Back
Top