Re: SSHD - zwingend nötig?

From: Polytropon <freebsd(at)edvax.de>
Date: Thu, 4 Jun 2015 03:00:32 +0200



On Wed, 03 Jun 2015 17:17:01 +0200, Heino Tiedemann wrote:


> hallo,


> muss eigentlich der sshd aufen?



Nein, denn die Antwort hast Du schon ein paar Zeilen


später selbst gegeben:



> Ein SSH zugang von aussen brauche ich nicht.



Das System selbst benötigt SSH auch nicht, um ordnungs-


gemäß zu funktionieren, also kannst Du diesen Dienst


getrost abschalten. Setze sshd_enable="NO" in /etc/rc.conf


oder laß die sshd-Zeile komplett weg - die Voreinstellung,


die ="NO" ist, wird durch /etc/defaults/rc.conf automatisch


aktiv.



> Anders: gibts gründe den nicht ab zu schalten?



Ein Grund wäre, daß ein sicherer Dialogzugang zum System


gewährleistet sein muß, also z. B. _kein_ Telnet. Dann ist


SSHD erforderlich. Auch bei verschlüsselten FTP- und X-


Verbindungen wird SSH benötigt. Ist aber all dies bei Dir


nicht der Fall - Fall gegessen. :-)



> Mein PC - ich habe nur den einen - ist direkt mit dem Internet


> verbunden.


> Aber es versuchen immer andere, sich bei mir anzumelden.



Dann schalte SSHD einfach ab, ein Verbindungsaufbau wird


dann abgelehnt. Und wenn Du selbst keinen solchen benötigst,


dann ist das auch völlig unproblematisch.



Exkurs: Wenn Dein Rechner direkt mit dem Internet verbunden


ist, empfiehlt sich der Einsatz einer Firewall (z. B. ipfw),


wo Du - auch bei _laufendem_ SSHD - per Regel festlegen kannst,


daß keine SSH-Verbindungen angenommen werden, in etwa mit


der Kernaussage



        deny tcp from any to any 22 in


        deny tcp from any to any 22 out



wenn bei Dir "default to accept" gesetzt ist. Bei "default


to deny" müßtest Du die SSH-Ports eh explizit freischalten,


etwa so:



        add allow tcp from any to any ssh in recv xl0



Dann ist auch in /var/log/security und /var/log/auth.log Ruhe. :-)



Das Abschalten von SSHD führt einfach dazu, daß ein SSH-Ver-


bindungsaufbau auf Port 22 zurückgewiesen wird, das genügt


hier in der Regel.



-- 
Polytropon
Magdeburg, Germany
Happy FreeBSD user since 4.0
Andra moi ennepe, Mousa, ...
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 04 Jun 2015 - 03:00:43 CEST













search this site