SSH sicher machen

[medic]

Hallo,
also ich hab mal eine Frage wegen dem SSH Zugang an euch´.

Es geht darum das wie fast überall im Web erklärt der direkte SSH Zugang für den Root nicht möglich sein sollte.

Also hab ich einfach einen neuen User erstellt, der auch eine neue Gruppe bekommt. Dann noch schnell in der sshd_config einstellen das der direkte root login unterbunden wird und klappt schon.

Nun möchte ich bei dem User den ich erstellt habe, allerdings so gut wie alles unterbinden, spricht der soll eigentlich nur seinen Ordner im ssh sehen können.

Hat das jemand schon mal gemacht, da stehe ich momentan ein wenig vor einem Rätsel.

Oder hat jemand überhaupt eine bessere Idee um den SSH Zugang sicher zu machen?

Ach ja, den Port hab ich schon verlegt.

Danke für eure Hilfe schon im Vorhinein.

mfg
medic

 

[funky]

Es gibt da verschiedene Methoden, schau Dir einfach mal folgende Seiten an:

http://www.tjw.org/chroot-login-HOWTO/
http://chrootssh.sourceforge.net/
http://www.linuxforen.de/forums/showthread.php?s=&threadid=80126 (HowTo mit PAM)
http://lists.suse.com/archive/suse-linux/2002-Sep/3812.html (HowTo mit chroot)

 

[medic]

Danke schon mal für die Links, da sind wirklich gute Anleitungen dabei.

Was haltet ihr eigentlich von diesem Weg den SSH Bereich abzusichern?

Immerhin, sollte jemand in den Root Bereich wollen, muss er dann 2 Passwörter raus kriegen, also schon ein wenig mehr Aufwand. Und der verlegte Port naja, immerhin muss da schon wo anders gesucht werden, auch nicht wirklich die so große Sicherheit.

Ach ja, wenn wir hier schon dabei sind, was haltet ihr von mod_security?

Das soll eigentlich ja ganz gut sein und auch ein wenig mehr Sicherheit fabrizieren.

mfg
medic

 

[funky]

Was genau hast Du denn vor?
Ich z.B. erlaube niemandem nen SSH Zugriff ausser mir selbst.
Wofür auch anderen!?
Leuten die nen FTP-Zugang haben hab ich die /bin/false geadded

 

[medic]

Bei mir hat auch niemand außer dem Root einen SSH Zugang, aber Root hat oder hatte direkten Login und das wird ja in so gut wie allen Sicherheitskonzepten als großer Fehler beschrieben.
Deshalb auch die Frage wegen dem weiteren SSH User, der soll dann eigentlich nur in SSH rein können und das war es dann auch schon.

Wenn der dann als Root Verzeichnis sein eigenes Home Verzeichnis bekommt, dann kann man mit diesem User nicht einmal einen "top" oder ähnliches ausführen.

Der sollte nur als zwischenlogin dienen, also vom Prinzip her keinerlei Funktion mehr haben.

Sonst möchte ich mich eigentlich nur ein wenig gegen Script Kiddies schützen, deshalb dachte ich da noch an die mod_security.

Oder hast du eine andere Idee?

mfg
medic

 

[Guin]

Den root Zugang fuer SSH sperren finde ich nicht so gut. Man kann dann nur noch eingeschraenkt mit WinSCP arbeiten
Besser ist es, ein sicheres Passwort zu nutzen oder einen Schluessel zu verwenden.
Den Port zu verlegen verhindert immerhin schon mal, dass die Kiddy Sripte auf Anhieb Erfolg haben.

Mod_security kann ich empfehlen. Wenn man das ganze Filterpaket von gotroot nutzt, muss man anfangs oftmals Aenderungen vornehmen, um false Positives zu beseitigen.

 

[medic]

Das ist klar, WinSCP würde dann nur noch eingeschränkt funktionieren, allerdings mache ich darüber nicht gerade sehr viel und wenn ich es bräuchte, dann müsste ich ja nur in der sshd_config den direkten Root Login freigeben, dann sollte das auch klappen.

Wo liegt eigentlich der Vorteil von "Keys" gegenüber einem Login mittels Passwort ?

 

[MrMasterJPsy]

Key Vorteil : Solange du ihn nciht weitergibst sicher (100% spar ich mir da im EDV Bereich nix 100% sicher ist)

Key nachteil : Unterwegst (Arbeit, Urlaub etc...) und Key nciht dabei = kein Zugang zum Server. (Oder Webmin installieren zusätzlich, aber da holt man sich ein neues Einfallstor auf den Server...


Cu JPsy - aber mal ehrlich, wenn das PW so schwach ist das es geknackt wird ist es eben so, dafür mehr Aufwand bzw. Komforteinbußen möchte ich persönlich nciht. Habe nur den Port verlegt und seitdem wenigsten saubere Auth Logfiles.

Mach dir eher nen Gedanken deine Logfiles regelmäßig zu durchsuchen (manuell oder z.B. logwatch) und wichtig ! die Logs regelmäßig backupen (und zwar remote) damit niemand seine Einbruchsspuren verwischen kann...

 

[medic]

Schon richtig,
ich habe bisher auch bei jedem Pro ein Contra gefunden.

Und wie bereits erwähnt wurde, sicher ist gar nichts, aber der Hinweis mit den Logs ist wichtig, das mach ich auch schon ordentlich, allerdings werte ich die noch per Hand aus.

Da sind aber ganz gute Tool mittlerweile vorhanden, die einem das Auswerten erleichtern, so was werde ich noch hinzuziehen.

Danke für eure Hilfe, sollte jemand dazu noch eine Idee haben, dann nur her damit.

mfg
medic

 

[xena]

hi

Root per Key ist die beste Lösung, man hat den Komfort von scp und der Keay mit Phasphrase ist schon sehr gut.

den Usern würd ich scp im chroot geben ist die bessere Lösung wie FTP. Er kann dann wie bei FTP nur in seinem Verzeichnis Mist bauen und sein PW wird wenigstens verschlüsselt übertragen.