Kommentare zu: Brute-Force-Angriffe auf SSH abwehren http://www.widdix.de/2009/08/08/brute-force-angriffe-auf-ssh-abwehren/ digital lifestyle Fri, 28 May 2010 09:42:30 +0000 hourly 1 http://wordpress.org/?v=3.0 Von: b23 http://www.widdix.de/2009/08/08/brute-force-angriffe-auf-ssh-abwehren/comment-page-1/#comment-11443 b23 Sat, 08 Aug 2009 20:30:42 +0000 http://www.widdix.de/?p=401#comment-11443 permit rootlogin sollte man auch noch abstellen. und es gibt noch die moeglichkeit AllowUsers zu definieren, was auch wieder ein wenig mehr Sicherheit bringt permit rootlogin sollte man auch noch abstellen. und es gibt noch die moeglichkeit AllowUsers zu definieren, was auch wieder ein wenig mehr Sicherheit bringt

]]> Von: otzenpunk http://www.widdix.de/2009/08/08/brute-force-angriffe-auf-ssh-abwehren/comment-page-1/#comment-11442 otzenpunk Sat, 08 Aug 2009 19:48:30 +0000 http://www.widdix.de/?p=401#comment-11442 Wer sichere Passwörter und/oder Public-Keys verwendet, braucht so einen zusätzlichen "Schutz" nicht. Sinnvoll ist das höchstens, wenn man irgendwelchen Kunden oder anderen Benutzern SSH-Zugänge zur Verfügung stellt, auf deren Passwortsicherheit man sich nicht verlassen kann. Ansonsten besteht der einzige "Sicherheitsgewinn" darin, dass das Log aufgeräumter aussieht, und ein Angreifer das Tool vielleicht derart austricksen kann, dass es dich selber DoSt. Beispiele aus der Vergangenheit: https://bugs.launchpad.net/ubuntu/+source/denyhosts/+bug/163257 https://bugs.launchpad.net/ubuntu/+source/denyhosts/+bug/162406 Wer sichere Passwörter und/oder Public-Keys verwendet, braucht so einen zusätzlichen “Schutz” nicht. Sinnvoll ist das höchstens, wenn man irgendwelchen Kunden oder anderen Benutzern SSH-Zugänge zur Verfügung stellt, auf deren Passwortsicherheit man sich nicht verlassen kann.

Ansonsten besteht der einzige “Sicherheitsgewinn” darin, dass das Log aufgeräumter aussieht, und ein Angreifer das Tool vielleicht derart austricksen kann, dass es dich selber DoSt.

Beispiele aus der Vergangenheit:
https://bugs.launchpad.net/ubuntu/+source/denyhosts/+bug/163257
https://bugs.launchpad.net/ubuntu/+source/denyhosts/+bug/162406

]]> Von: Andi http://www.widdix.de/2009/08/08/brute-force-angriffe-auf-ssh-abwehren/comment-page-1/#comment-11441 Andi Sat, 08 Aug 2009 19:44:25 +0000 http://www.widdix.de/?p=401#comment-11441 @byte-man: Stimmt, ist eine gute Möglichkeit seinen SSH-Server nicht auf Port 22 lauschen zu lassen. Es hat jedoch auch Vorteile, wenn man den Standard einhält. Es gibt sogar Anwendungen, die sich darauf verlassen (auch wenn ich das nicht sinnvoll finde). @Betz Stefan: Naja, ich bevorzuge auch Login per Keys, aber das ist eben nicht für alle Anwendungsfälle zu gebrauchen. Man verliert dadurch nämlich auch Flexibilität. Sicherer ist es natürlich. @byte-man: Stimmt, ist eine gute Möglichkeit seinen SSH-Server nicht auf Port 22 lauschen zu lassen. Es hat jedoch auch Vorteile, wenn man den Standard einhält. Es gibt sogar Anwendungen, die sich darauf verlassen (auch wenn ich das nicht sinnvoll finde).

@Betz Stefan: Naja, ich bevorzuge auch Login per Keys, aber das ist eben nicht für alle Anwendungsfälle zu gebrauchen. Man verliert dadurch nämlich auch Flexibilität. Sicherer ist es natürlich.

]]> Von: Betz Stefan http://www.widdix.de/2009/08/08/brute-force-angriffe-auf-ssh-abwehren/comment-page-1/#comment-11440 Betz Stefan Sat, 08 Aug 2009 18:36:58 +0000 http://www.widdix.de/?p=401#comment-11440 Ich selbst verwende auf meinem Server keine solche Technik. Warum auch, in der Regel sollte man eh keine Passwort Logins auf dem Server aktiv haben. So hat man außer etlichen Fehlermeldung nichts im Syslog, den wo kein Passwort erlaubt ist kann man auch keines knacken. mfg Betz Stefan Ich selbst verwende auf meinem Server keine solche Technik. Warum auch, in der Regel sollte man eh keine Passwort Logins auf dem Server aktiv haben.

So hat man außer etlichen Fehlermeldung nichts im Syslog, den wo kein Passwort erlaubt ist kann man auch keines knacken.

mfg Betz Stefan

]]> Von: byte-man http://www.widdix.de/2009/08/08/brute-force-angriffe-auf-ssh-abwehren/comment-page-1/#comment-11428 byte-man Sat, 08 Aug 2009 10:36:24 +0000 http://www.widdix.de/?p=401#comment-11428 Hi, denyhosts ist nett, aber meine Erfahrung zeigt, das die meisten Angriffe aus dem tor Netzwerk kommen (nichts gegen tor, ist eine tolle Sache). Da bei tor die IP-Adressen wechseln, greift denyhosts ins Leere (IMHO). Als 2. Linie (zusätzlich zu denyhosts) würde ich empfehlen den SSH-Port nicht auf 22 zu lassen, sondern einen beliebigen Port über 1024 zu wählen. Dies hat die Angriffe bei meinen Servern von >25 pro Tag, die denyhosts gesperrt hat, auf 0 verringert. In der persönlichen ssh_config kann man pro Host den Port einstellen (siehe man ssh_config). Gruß byte-man Hi,

denyhosts ist nett, aber meine Erfahrung zeigt, das die meisten Angriffe aus dem tor Netzwerk kommen (nichts gegen tor, ist eine tolle Sache). Da bei tor die IP-Adressen wechseln, greift denyhosts ins Leere (IMHO). Als 2. Linie (zusätzlich zu denyhosts) würde ich empfehlen den SSH-Port nicht auf 22 zu lassen, sondern einen beliebigen Port über 1024 zu wählen. Dies hat die Angriffe bei meinen Servern von >25 pro Tag, die denyhosts gesperrt hat, auf 0 verringert.

In der persönlichen ssh_config kann man pro Host den Port einstellen (siehe man ssh_config).

Gruß
byte-man

]]>