OpenSSH-Server absichern / Nutzung mit PuTTY und WinSCP

Hallo,

meiner Meinung nach fehlt dabei ein ganz wesentlicher Aspekt, den wir hier auch immer wieder predigen.

Man sollte root das Anmelden generell verbieten und einen User erstellen zum Anmelden.
Da die Wahrscheinlickeit, eines erfolgreichen SSH Angriffes, dadurch noch geringer wird.

Desweiteren ist der wichtigste Punkt, wenn man die Überschrift der Anleitung durchliest, doch recht Mager beschrieben.
Gemeint ist die Verlegung des Ports, denn das ist immer noch die effektivste "Waffe" gegen BruteForce Angriffe, wie du selber in diesem kleinen Absatz erwähnt hast.


Mal abgesehen davon ist es ganz nett.

Am besten würde es mir gefallen wenn du die Anleitung hier im Forum einfach mal an die richtige Stelle schreiben könntest.
Nicht als Link!


Just my two cents.
 
@V40

Nach, was muss ich denn Suchen hier im Board, um mich als User unter ssl einzuloggen und nicht als root ? Das wa sich als Suchewörter genommen hatte, brachte mich nicht zu so ein Thema :rolleyes:
 
Hallo,

also wenn du nach ssl gesucht hast ist das auch kein Wunder ;)
Das heisst ja ssH :)

Gesucht nach : root ssh verbieten
Gefunden :

ssh ohne root...bzw verbieten für root...

Hallo erst mal, nur mal für blöde, aber ich suche schon echt lange danach, viele raten dazu das man einen direkten root login über ssh verhindern sollte so das sich nur noch user per ssh einloggen können und dann per su auf root wechseln. dazu sollte ich mir ja erstmal einen neuen user...
serversupportforum.de serversupportforum.de
 
Hallo,

geauso ist das.

Als User anmelden und wenn du dann root Rechte brauchst einfach "su", Passwort hinterher und du bist root :)
 
v40 said:
Hallo,

meiner Meinung nach fehlt dabei ein ganz wesentlicher Aspekt, den wir hier auch immer wieder predigen.

Man sollte root das Anmelden generell verbieten und einen User erstellen zum Anmelden.
Da die Wahrscheinlickeit, eines erfolgreichen SSH Angriffes, dadurch noch geringer wird.
Click to expand...

Im Zusammenhang mit Private/Public-Key-Authentifizierung ist es zu 100% egal, ob man dem User root verbietet sich anzumelden oder nicht, da bei einem Anmeldeversuch der korrekte Key mitgeliefert werden muss, sonst geht garnichts. Vorrausgesetzt dass nach dem Tutorial vorgegangen wurde (also die Public/Private-Key-Authentifizierung die einzige ist, die akzeptiert wird), wird jeder Versuch einer Attacke scheitern, da ein Hacker wohl kaum den richtigen Schlüssel parat hat.
Ergo wird die Wahrscheinlichkeit eines erfolgreichen SSH-Angriffs keinesfalls geringer, wenn der User root sich nicht einloggen darf.

v40 said:
Desweiteren ist der wichtigste Punkt, wenn man die Überschrift der Anleitung durchliest, doch recht Mager beschrieben.
Gemeint ist die Verlegung des Ports, denn das ist immer noch die effektivste "Waffe" gegen BruteForce Angriffe, wie du selber in diesem kleinen Absatz erwähnt hast.
Click to expand...

Naja die Portverlegung nimmt den SSH-Server nur aus der Schusslinie bietet davon abgesehen aber keinerlei zusätzlichen Schutz.


MfG und guten Abend
 
Last edited by a moderator:
Die Rechte, die man danach hat, sind aber von unterschiedlichem Gewicht!

P.S. Wir mögen keine Fullquotes!
 
Hallo,

es ist schon ein Unterschied ob ich nur User bin oder root bin wenn ich eingeloggt bin auf dem Server.

Es ist schon ein Unterschied zwischen : "Ich hacke einen root Account von dem jeder den Namen kennt"
Und : " Ich hacke einen User Account von dem ich nichts weiss"

Und einen Key zu bekommen, ganz im ernst, auch das halte ich nicht für so unmöglich.

Edit: Danke Marneus war schneller :)
 
Last edited by a moderator:
Nunja sorry für den Fullquote :rolleyes:

Der Privatekey alleine reicht ja nicht, man braucht ja immernoch das Passwort dafür, so wie bei su auch...
 
Nichtsdestotrotz halten wir fest, dass ein kompromitierter Schlüsselsatz, der nur normale Userrechte verspricht deutlich uninteressanter ist, als einer, der mir gleich volle root-Rechte gibt.

Also: Es trägt zur Sicherheit bei, wenn der root-Login generell verboten ist!
 
Find ich ja ganz nett, den root zu verbieten, aber dann kannst WINSCP nicht mehr optimal nutzen. Oder gibts inzwischen eine Lösung für dieses Problem?
 
Also ich nutze ein kleines Tool namens Fail2Ban. Ein Brute-Force Angriff dauert dann (je nach Konfiguration) 3 Angriffe... Danach wird die IP des Angreifers automatisch per Iptables gesperrt. Mir genügt das eigentlich als Schutz.

Mal eine generelle Frage zum Thema "nicht als Root einloggen": Wiso sollte man nicht als Root einloggen wenn man sowas wie Fail2Ban einsetzt. Die einzige Variante dann an das Passwort zu kommen, wäre ein lokal installierter Keylogger. Und da nützt ja auch kein normaler User etwas, denn sobald man mittels "su" zum Root wird hat der Angreifer ja auch das Passwort.

Gruss,
Dawn
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top