Re: Angriff auf SSH

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Wed, 2 Nov 2005 19:20:57 +1100 (EST)

Hi Olli,

On Wed, 2 Nov 2005, Oliver Fromme wrote:

> Falls Du den administrativen ssh-Login nur von bestimmten
> IP-Adressen (oder IP-Ranges) aus benoetigst, waere es evtl.
> eine Überlegung wert, nur diese IPs fuer Port 22 freizu-
> schalten (per IPFW oder PF, oder auch zusaetzlich per TCP-
> Wrapper hosts_access(5)). Dann haettest Du zumindest noch
> einen weiteren Riegel vor der Tür.

sshd hat auch eine Option dafuer, nur bestimmte Ports durchzulassen. Aber
doppeltgemnaeht haelt immer besser..

Wenn es ging, habe ich Aussenzugriff via erst auf eine Kiste in der DMZ
weitergeleitet, die ordentlich gehaertet war und auf der nichts weiter
lief (das muss keine teure Hardware sein, fuer Maintenancezugriff reicht
eine Kiste, die man fuer 'nen Hunderter bekommt).

Von da aus ging es dann weiter.. und auch mit Restriktionen, die erlaubten
IP-Adressen betreffend.

Warum das Verlegen von ssh auf einen Port!=22 schaedlich sein soll, wie Du
schreibst, erschliesst sich mir nicht. Da man damit einfach einen Haufen
Skripte, die den sshd auf Port 22 erwarten, ignorieren kann, erhoeht sich
die Sicherheit schon. Einen Nachteil kann ich nicht sehen.

Gruss
Peter

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 02 Nov 2005 - 11:22:12 CET

search this site