© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hi Olli,
On Wed, 2 Nov 2005, Oliver Fromme wrote:
> Peter Ross <Peter.Ross(at)alumni.tu-berlin.de> wrote:
> > Warum das Verlegen von ssh auf einen Port!=22 schaedlich sein soll,
> > wie Du schreibst, erschliesst sich mir nicht. Da man damit einfach
> > einen Haufen Skripte, die den sshd auf Port 22 erwarten, ignorieren
> > kann, erhoeht sich die Sicherheit schon.
>
> Ich kann nicht nachvollziehen, wie sich dadurch die Sicher-
> heit erhoehen sollte.
Reine Wahrscheinlichkeitsrechnung: wenn eine von (x)tausend Attacken
erfolgreich sein koennte, dann verringert sich die Wahrscheinlichkeit,
wenn davon bereits vier Fuenftel duch "billige" Massnahmen wie das
"Verstecken" des ssh abgeschmettert werden.
> Das Problem ist, dass man dazu neigt, sich auf Sicherheits-
> massnahmen zu verlassen, selbst wenn sie unwirksam sind,
"Man" vielleicht .. aber das muss nicht ich sein;-)
Ich behaupte nicht eine Sekunde, dass ein anderer Port ausreichende
Sicherheit gegen veraltete, unsichere sshds oder Passwoerter ist, die auf
einer Webseite stehen..
> Wenn ich z.B. in einem Rechner einbrechen wollte (man be-
> achte den Konjunktiv), wuerde ich versuchen, auf einem
> Drittweg an einen Key oder an ein Passwort zu kommen (z.B.
> durch Keylogger, EMT-Scanner, Social-engineering o.ae.), und
> wenn ich feststellte, dass auf Port 22 offenbar kein sshd
> lauscht, wuerde ich halt einen Scanner verwenden. Das hiel-
> te mich ungefaehr 30 Sekunden auf.
Die Skripte, deren "Anklopfen" Du in den Logfiles findest, duerften in den
wenigsten Faellen Zugriff auf soziale Ressourcen haben oder auf unsicheren
Wegen lauschen, sie sind zumeist Brute-Force-Attacken - mal gucken, ob
Root-Zugriff erlaubt ist, und dann, ob das Passwort nicht z.B. das
Firmenpasswort ist.
Beides habe ich in den letzten 18 Monaten als Berater mehr als einmal
gesehen.
Fuer den Fall eines "echten" Menschen, wie Du beschreibst, hilft das
Verstecken des Portes wirklich nichts, das ist korrekt.
Gruss
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 02 Nov 2005 - 12:46:28 CET