Re: Angriff auf SSH

From: WasOs.NET Sven Leuenberger <leuenberger(at)wasos.net>
Date: Wed, 02 Nov 2005 11:49:45 +0100

> Oliver Fromme schrieb:
> Marian Hettwer <MH(at)kernel32.de> wrote:
> > Sebastian Stolz wrote:
> > > [...]
> > > ist das ein "Problem" und kann ich da irgendwas dagegen machen??? Leider
> > > kann ich den Port nicht in
> > > der Firewall beschränken, da ich öffter's Fernwartung per SSH von einer
> > > Einwahlleitung machen muss.
> >
> > Naja, ein gängiger Weg wäre den sshd auf einen anderen Port als 22 zu
> > legen. Gefällt mir aber nicht sonderlich gut (security by obscurity).
>
> Davon würde ich auch eher abraten. Sowas ist häufig eher
> schädlich als nützlich.
>
> > Ansonsten gelten die üblichen Regeln
> > - direkten rootlogin via ssh verbieten (PermitRootLogin No in sshd_config)
>
> Ja (das sollte aber eh der Default sein).
>
> > - wenn's geht public keys benutzen und keyboard-interactive (also
> > direkte passworteingabe verbieten)
>
> Keyboard-interactive würde ich nicht verbieten, denn dann
> könntest Du z.B. OPIE nicht mehr benutzen. Aber Du meinst
> vielleicht PasswordAuthentication; das kann man in der Tat
> verbieten.
>
> Public-Keys können sinnvoll sein, sofern man der Client-
> Maschine vertrauen kann, von der aus man sie verwendet (was
> bei einer Windows-Maschine meiner Meinung nach nicht gege-
> ben ist). Alternativ kann man Einmal-Paßwörter verwenden
> (OPIE, S/Key o.ä.)

Also ich bin ja auch kein Fan von Windoze aber ich kann sogar ein OpenBSD
unsicher machen wenn ich es falsch konfiguriere, bzw. ich kann mit der
richtigen Konfiguration auch ein Windoze 'sicherer' machen. Es kommt immer
drauf an in welcher Form ein OS konfiguriert und benutzt wird.

>
> Gruß
> Olli
>

Bei einmal Passwörtern frag ich mich nun nur, wie Du das konfigurierst,
dass der sshd immer das aktuelle PW weis, etc.
Denn irgendwie muss ich das ja dem sshd mitteilen und zum andern benötige
ich das ja um dann zu connecten.

Gruss
Sven

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 02 Nov 2005 - 11:50:52 CET

search this site