Ubuntu - Notificationen

Doch wenn Jemand gezielt auf meine Möhre möchte könnte er einfach den SSH Port sniffen und dann so in Besitz des Keys kommen oder?
Kurz: nein
Lang: Das ist totaler Unsinn. Wie will er den Traffic bei dir abschnorcheln, wenn er noch nicht "drin" ist? Im Übrigen ist die Annahme, jemand könnte durch Abschnorcheln einer SSH-Verbindung etwas replaybares bekommen ein Trugschluss. Du solltest dir das mal anlesen...

Ich wollte meine Möhre zu einer kleinen Festung machen, auf der automatisierte und gezielte Hacks so gut wie keine Chance haben.
SSH mit Keys (den privaten Key möglichst nicht großzügig verteilen und mit einem Passphrase schützen, der diesen Namen auch verdient hat) und ohne Passwörter ist sicher genug.

Wenn du zusätzlich Passwörter willst - es gibt ein OTP-Plugin für PAM. Damit kannst du einrichten, dass man SSH-Key oder Passwort+OTP braucht um rein zu kommen.

Doch das ist ein Kampf gegen Windmühlen, Lücken gibt es immer
Ja. Aber was ich versuche zu sagen: SSH ist dabei dein kleinestes Problem.

Da es keine Probleme bereitet, werde ich den geänderten Port beibehalten
Geänderte Ports halte ich für Schwachsinn. Das nimmt nur etwas Log-Rauschen. Das wird aber eh von Logwatch gefiltert und von Logrotate wegrotiert.
Ein geänderter SSH-Port bewirkt keine zusätzliche objektive Sicherheit, sondern nur ein trügerisches Gefühl, etwas getan zu haben. Es bewirkt also IMHO eher das Gegenteil dessen, was man beabsichtigte.

und mich noch einmal über SSH-AUTH informieren, auch wenn mir diverse Leute davon, aufgrund von schlechten Erfahrungen mit Eindringlingen, abraten.
Was waren das denn für schlechte Erfahrungen? Ich habe bisher nur gute Erfahrungen gemacht.
Und bitte nimm keinen Rat mehr von denen an. Wer es schafft, dir explizit von der aktuell besten Auth-Methode abzuraten, der sollte dich nicht weiter beraten.

Wenn mit den schlechten Erfahrungen gemeint ist, dass es ein Package-Maintainer von Debian geschafft hat, den Schlüsselvorrat, den Debian zu erzeugen in der Lage war, auf etwas über 16000 einzuschränken, nur um ein paar Logmeldungen in Valgrind zu unterdrücken: Es gibt noch andere Gründe, Debian doof zu finden. Das Problem war ein ziemlich bescheuerter (ja, ich finde die Rechtfertigung, wie das über die Mailingliste gelaufen sein soll ist Fingerpointing und Wasntme) Patch in OpenSSL, so dass keine ordentlichen Keys mehr erzeugt wurden. OpenSSH war zu keiner Zeit dadurch verwundbar.
 
Last edited by a moderator:
Back
Top