Re: Angriff auf SSH

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Wed, 2 Nov 2005 11:07:02 +0100 (CET)

Marian Hettwer <MH(at)kernel32.de> wrote:
> Sebastian Stolz wrote:
> > [...]
> > ist das ein "Problem" und kann ich da irgendwas dagegen machen??? Leider
> > kann ich den Port nicht in
> > der Firewall beschränken, da ich öffter's Fernwartung per SSH von einer
> > Einwahlleitung machen muss.
>
> Naja, ein gängiger Weg wäre den sshd auf einen anderen Port als 22 zu
> legen. Gefällt mir aber nicht sonderlich gut (security by obscurity).

Davon würde ich auch eher abraten. Sowas ist häufig eher
schädlich als nützlich.

> Ansonsten gelten die üblichen Regeln
> - direkten rootlogin via ssh verbieten (PermitRootLogin No in sshd_config)

Ja (das sollte aber eh der Default sein).

> - wenn's geht public keys benutzen und keyboard-interactive (also
> direkte passworteingabe verbieten)

Keyboard-interactive würde ich nicht verbieten, denn dann
könntest Du z.B. OPIE nicht mehr benutzen. Aber Du meinst
vielleicht PasswordAuthentication; das kann man in der Tat
verbieten.

Public-Keys können sinnvoll sein, sofern man der Client-
Maschine vertrauen kann, von der aus man sie verwendet (was
bei einer Windows-Maschine meiner Meinung nach nicht gege-
ben ist). Alternativ kann man Einmal-Paßwörter verwenden
(OPIE, S/Key o.ä.)

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"The ITU has offered the IETF formal alignment with its
corresponding technology, Penguins, but that won't fly."
        -- RFC 2549
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 02 Nov 2005 - 11:08:41 CET

search this site