Root - Fernzugriff verweigern (noch) sinnvoll?

S

schnoog

New Member
Hi,
ich bin gerade mit einem Kollegen in der Debatte, ob es noch) einen Sicherheitsgewinn bietet, den Fernzugriff via SSH für den root zu verbieten.
Meine Erfahrungen dazu möchte ich gern preisgeben:
Ich hab einen Dedi-Root und 2 VServer laufen. Wenn ich nun die messages der letzten 8 Monate durch-grep-e und die Einträge zählen lasse, komme ich insgesamt zu folgenden Zahlen:
2.381.415 Loginversuche mit ungültigem Username
61 Versuche mit root und falschem Passwort (wobei CAPS-LOCK [wer hat den Sch*** denn am PC eingeführt] sicher einige Fehllogins meinerseits verursachte)

Mein Kollege wiederrum meint, das seien ja nur meine Server und wahrscheinlich würde es auf andren ganz anders aussehen.

Deshalb möchte ich den einen oder anderen darum bitten, mir ihr Meinung / Erfahrung hier Kund zu tun.

Danke
Schnoog
 
Warum präsentierst du überhaupt SSH auf Port 22?

Och ja ich stelle mich mal als weisses Schäfchen in eine Herde Wölfe ^^
 
Genau, SSH auf nen anderen Port und Login nur mittels Public-Key Verfahren, da brauchste dann den root Login nicht mehr verbieten.
 
Wenn man den SSH port auf standard lässt, und mit Denyhost die IP sperren lässt. So das die IP keinen zugriff auf irgendetwas hat, ist das dann nicht ein sicherheits gewinn??
Da die IP dann ja keinen zugriff mehr auf web/mail/ftp/ssh oder sonstiges hat. Was meint ihr dazu?

Aber root login würde ich auch abschalten:D
Danke
Karl
 
Das stimmt, aber hier im forum gibt es ein tutorial. Warte ich suchs mal schnell.
Hier:

[Howto] Secure your Webserver

Hallöchen, Da ich in letzter Zeit immer mal wieder lese, dass Server gesperrt werden wegen DDos oder weil sich jemand Zugang zum Server verschafft hat. Habe ich mir gedacht, ich schreibe mal ein kleines Howto, wie man seinen Server ein kleines bisschen sicherer macht. Dieses Howto ist...
serversupportforum.de serversupportforum.de
 
Last edited by a moderator:
Ich habe Denyhosts (mit Sync) am laufenund der root-Login ist auf allen Maschienen erlaubt.
Vom ssh auf einen andren Port legen, bin ich weniger überzeugt, security by obscurity ist nicht so mein Ding ;)
Ich persönlich denke jdoch nicht das ich ein Sicherheitsproblem habe :)
 
Hat denn niemand von Euch Erfahrungswerte, ob aktuell überhaupt noch SSH-Bot-Angriffe auf den User root stattfinden?
Wie gesagt: 8 Monate und gerade mal 61 Fehlversuche auf "root" , die sicher zu 90% von mir sind (aber z.B. 96411 Versuche auf den nicht existenten User "teamspeak")
Wäre nett, wenn jemand seine Zahlen hierzu posten könnte.
Also
Code: 
grep 'Authentication failure for root' /var/log/messages | wc -l
versus
Code: 
grep 'pam for invalid user' /var/log/messages | wc -l
 
Ich gehöre ja zu denen, die den SSH gerne auf Std-Port haben. Das Verlegen bringt doch nur was gegen Bot-Angriffe und die laufen ja wegen SSH-Key-Auth eh gegen die Wand.

Bei root verbieten bin ich dafür. Man kann hinterher immer noch mit su root inkarnieren. Das ist ein bisschen Zen-Askese - man könnte auch direkt mit root einloggen aber es tut gut, genau zu wissen wieso man root sein muss wenn man etwas macht. Und meiner Erfahrung nach kann ich 95% aller administrativen Tasks sehr gut per sudoers erledigen. Wobei ich da widerum die etwas lockere Einstellung habe, dass Users in der Gruppe wheel alles dürfen.
 
Mein Root Passwort hat 38 stellen, daher ist es bei mir Wumpe ob ich Root Login verbiete oder nicht.

Den SSH Port hab ich dennoch umgelegt da sich sehr viele Fehlversuche auf x nicht existente Usernamen einstellten und mir die Logs füllten. Um weiteren Ärger zu vermeiden habe ich auch via iptables dafür gesorgt, dass zunächst mal nur deutsche IPs auf den SSH Port zugreifen können.
 
You must log in or register to reply here.
Back
Top