SSH absichern durch Portknocking (knockd)

[tomasini]

Wie schützt du denn dein SSH vor Bots, die 100 Logins in der Sekunde versuchen?

Wie gesagt: key-only, 4096bit-Schlüssellänge und Passphrase, ggf. VPN. SSH läuft auf Port 22.

Fällt dann fail2ban auch in die Kategorie snake oil?

Aber natürlich. Das ist noch schlimmer als Knockd.

Bots, die die Logs zumüllen, sind in meinen Augen kein Problem. Die ignoriere ich einfach, denn kein Bot schafft es mir die komplette Platte binnen 24h zuzumüllen. Ab da würden dann die Probleme anfangen, um die ich mich kümmern müsste. Zumal ich das Logging für alle Server über externe Loggingserver laufen lasse.

 

[Deleted member 11740]

Ja, ist ja schön und gut. Ich habs schon erlebt, dass ein Bot durch viele Connects es verhindert hat, dass sich ein User via SSH einloggen konnte. Natürlich hätte ich die Kiste hinter ein VPN packen können und selbstverständlich hätte ich auch eine Firewallregel einstellen können. Mir was das zu aufwendig und aus dem Grund hab ich fail2ban installiert. Danach war sofort Schluss mit den Loginversuchen.

Ich hab hier schon irgendwo mal gelesen, dass durch fail2ban der Server auch zum Absturz gebracht werden kann. Scheint aber eher sehr theoretisch zu sein und mir ist es bisher nicht passiert. Angreifer hatten wir jetzt genügend um fail2ban zu testen.

 

[tomasini]

Mir was das zu aufwendig und aus dem Grund hab ich fail2ban installiert.

Genau, i.d.R. setzen alle auf die bequeme Lösung, die dazu den geringsten (Arbeits-)Aufwand verursacht. Wirklich sicherer mache ich mein System damit aber in den wenigsten Fällen.

Und wenn Systemsicherheit bei mir oberste Priorität hat, dann läuft da überhaupt kein SSH. Dann erfolgt der Zugriff ausschließlich via KVM.

 

[Joe User]

Ich habs schon erlebt, dass ein Bot durch viele Connects es verhindert hat, dass sich ein User via SSH einloggen konnte.

Dann war aber die Hardware völlig unterdimensioniert, denn >10k Connects / Sekunde wird der Bot kaum abgefeuert haben.

Natürlich hätte ich die Kiste hinter ein VPN packen können

VPN ist in diesem Fall auch Snakeoil, da unsicherer und erheblich leichter abzuschiessen als SSH und inkompatibel so dass Du ohne den richtigen VPN-Client nicht connecten kannst.

 

[Deleted member 11740]

...als ob die KVM nicht durch Menschen programmiert worden ist...

Es ist genau wie fail2ban nur eine weitere Hürde. Der Unterschied besteht doch nur darin, dass die KVM auf einer anderen Hardware läuft und wahrscheinlich sogar proprietär ist.

Bricht der User auf deiner KVM ein, kann er deine Kiste ggf. auch von einem Image booten.

Ich hab mich schon immer gefragt, ob es nicht vielleicht doch besser ist eine KVM nicht im Internet zugänglich zu machen. Ist ja schön bequem, aber auch gefährlich.

 

[Semper Addisco]

Eine effektive Methode finde ich auch SSH durch TCP-Wrapper zu schützen. Ersmal alles verbieten in hosts.deny und in hosts.allow dann einfach den Hostnamen eintragen von dem aus man sich verbinden möchte. Das geht natürlich nur bei einem Server auf dem eine sehr begrenzte Anzahl Nutzer Zugriff haben darf. Sinnvoll finde ich es zum Beispiel bei einem dedizierten Server mit einem Administrator weil ein potenzieller Angreifer erstmal denselben Hostnamen braucht um eine Verbindung aufbauen zu können.