elias5000
Site Reliability Engineer
Kurz: nein
Lang: Das ist totaler Unsinn. Wie will er den Traffic bei dir abschnorcheln, wenn er noch nicht "drin" ist? Im Übrigen ist die Annahme, jemand könnte durch Abschnorcheln einer SSH-Verbindung etwas replaybares bekommen ein Trugschluss. Du solltest dir das mal anlesen...
SSH mit Keys (den privaten Key möglichst nicht großzügig verteilen und mit einem Passphrase schützen, der diesen Namen auch verdient hat) und ohne Passwörter ist sicher genug.
Wenn du zusätzlich Passwörter willst - es gibt ein OTP-Plugin für PAM. Damit kannst du einrichten, dass man SSH-Key oder Passwort+OTP braucht um rein zu kommen.
Ja. Aber was ich versuche zu sagen: SSH ist dabei dein kleinestes Problem.
Geänderte Ports halte ich für Schwachsinn. Das nimmt nur etwas Log-Rauschen. Das wird aber eh von Logwatch gefiltert und von Logrotate wegrotiert.
Ein geänderter SSH-Port bewirkt keine zusätzliche objektive Sicherheit, sondern nur ein trügerisches Gefühl, etwas getan zu haben. Es bewirkt also IMHO eher das Gegenteil dessen, was man beabsichtigte.
Was waren das denn für schlechte Erfahrungen? Ich habe bisher nur gute Erfahrungen gemacht.
Und bitte nimm keinen Rat mehr von denen an. Wer es schafft, dir explizit von der aktuell besten Auth-Methode abzuraten, der sollte dich nicht weiter beraten.
Wenn mit den schlechten Erfahrungen gemeint ist, dass es ein Package-Maintainer von Debian geschafft hat, den Schlüsselvorrat, den Debian zu erzeugen in der Lage war, auf etwas über 16000 einzuschränken, nur um ein paar Logmeldungen in Valgrind zu unterdrücken: Es gibt noch andere Gründe, Debian doof zu finden. Das Problem war ein ziemlich bescheuerter (ja, ich finde die Rechtfertigung, wie das über die Mailingliste gelaufen sein soll ist Fingerpointing und Wasntme) Patch in OpenSSL, so dass keine ordentlichen Keys mehr erzeugt wurden. OpenSSH war zu keiner Zeit dadurch verwundbar.
Last edited by a moderator: