---

Jeg kan se at der er åbent på port 22 i min Debianinstallation, og den
vil jeg egentlig gerne have lukket. Jeg regner med at det er programmet
sshd der står for at holde det åbent (men i 'PID/Program-kolonnen' i
netstat står '-', gad vide hvorfor). sshd lader sig dog ikke dræbe, og i
øvrigt vil den jo også bare starte op, sammen med Debian næste gang.
Hvordan slår jeg sshd (eller hvad der er ansvarlig for port 22) ihjel?

Er der nogen form for sikring imod at mennesker eller maskiner kan stå
og gætte løs på root-kodeordet til de finder det?

Er der andre ting jeg skal gøre, for at gøre min Debian mere sikker? Den
fungerer ikke som server på nogen måder.

---

Lars Stokholm <stokholm@despammed.com> skriver:

> Jeg kan se at der er åbent på port 22 i min Debianinstallation, og den
> vil jeg egentlig gerne have lukket. Jeg regner med at det er programmet
> sshd der står for at holde det åbent (men i 'PID/Program-kolonnen' i
> netstat står '-', gad vide hvorfor). sshd lader sig dog ikke dræbe, og i
> øvrigt vil den jo også bare starte op, sammen med Debian næste gang.
> Hvordan slår jeg sshd (eller hvad der er ansvarlig for port 22) ihjel?

Du kan jo afinstallere sshd (apt-get remove openssh-server).

> Er der nogen form for sikring imod at mennesker eller maskiner kan stå
> og gætte løs på root-kodeordet til de finder det?

Debians sshd er som udgangspunkt konfigureret til ikke at tillade
root-login.

mvh
/arne
--
Arne Jørgensen <http://arnested.dk/>

---

On 2005-07-22, Arne Jørgensen <arne@arnested.dk> wrote:
> Du kan jo afinstallere sshd (apt-get remove openssh-server).

Hmm, husker du også forkert her? :) På min installation bliver sshd
installeret med pakken ssh, som også indeholder klienten. Den vil jeg
ikke af med, så jeg må nok vælge Sunes metode.

---

On 2005-07-22, Arne Jørgensen <arne@arnested.dk> wrote:
> Du kan jo afinstallere sshd (apt-get remove openssh-server).

Nå ja, god idé.

>> Er der nogen form for sikring imod at mennesker eller maskiner kan stå
>> og gætte løs på root-kodeordet til de finder det?

Det kunne jeg stadig godt tænke mig at få svar på. :)

> Debians sshd er som udgangspunkt konfigureret til ikke at tillade
> root-login.

Nej, ikke her i hvert fald (3.1r0a). Men tak til jer begge.

---

On 2005-07-22, Lars Stokholm <stokholm@despammed.com> wrote:
>>> Er der nogen form for sikring imod at mennesker eller maskiner kan stå
>>> og gætte løs på root-kodeordet til de finder det?
>
> Det kunne jeg stadig godt tænke mig at få svar på. :)

Nej.

Ikke andet end PermitRootLogin no

--
sune

---

Den Fri, 22 Jul 2005 20:54:48 +0000. skrev Lars Stokholm:
>>> Er der nogen form for sikring imod at mennesker eller maskiner kan stå
>>> og gætte løs på root-kodeordet til de finder det?
> Det kunne jeg stadig godt tænke mig at få svar på. :)

Man kan lave nogle interessante tricks med iptables og limit modulet.
Man kan sætte det op sådan, at hvis nogen prøver at oprette 3 nye
SSH-forbindelser inden for et minut, så bliver IP'en udelukket indtil den
holder op med at forsøge i mere end et minut i træk. Jeg kan lige skrue
det sammen til dig i morgen, hvis du stadig er interesseret?

--
| Søren Hansen | Linux2Go | http://Linux2Go.dk/ |
| Seniorkonsulent | Lindholmsvej 42, 2. TH | +45 46 90 26 42 |
| sh@linux2go.dk | 9400 Nørresundby, Denmark | GPG key: E8BDA4E3 |

---

Den Tue, 26 Jul 2005 00:16:32 +0200. skrev Søren Hansen:

> Den Fri, 22 Jul 2005 20:54:48 +0000. skrev Lars Stokholm:
>>>> Er der nogen form for sikring imod at mennesker eller maskiner kan stå
>>>> og gætte løs på root-kodeordet til de finder det?
>> Det kunne jeg stadig godt tænke mig at få svar på. :)
> Man kan lave nogle interessante tricks med iptables og limit modulet.
> Man kan sætte det op sådan, at hvis nogen prøver at oprette 3 nye
> SSH-forbindelser inden for et minut, så bliver IP'en udelukket indtil den
> holder op med at forsøge i mere end et minut i træk. Jeg kan lige skrue
> det sammen til dig i morgen, hvis du stadig er interesseret?

Ak, jeg huskede galt. Man kan ikke bruge limit, da den kun kan bruges til
at sætte en global begrænsning, altså "max 5 SSH-forbindelser i
minuttet" i stedet for "max 5 SSH-forbindelser fra hver IP i minuttet".
Det ville altså med andre ord være ENORMT nemt at lave et DoS-angreb,
hvis man brugte limit til det. dstlimit-modulet er specifikt lavet til den
slags, men det er ikke med de kerner, der følger med de fleste
distributioner i dag. I stedet kan man (mis)bruge recent-modulet:

#
# Registrer alle nye SSH-forbindelser forbindelser.
#
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent \
--name sshconn --set

#
# Hvis der har været mere end 5 nye SSH-forbindelser inden for de
# sidste 60 sekunder, så DROPpes pakken.
#
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent \
--name sshconn --update --seconds 60 --hitcount 5 -j DROP


Se evt. denne artikel:
http://www.debian-administration.org/articles/187

--
| Søren Hansen | Linux2Go | http://Linux2Go.dk/ |
| Seniorkonsulent | Lindholmsvej 42, 2. TH | +45 46 90 26 42 |
| sh@linux2go.dk | 9400 Nørresundby, Denmark | GPG key: E8BDA4E3 |

---

Lars Stokholm <stokholm@despammed.com> skriver:

> On 2005-07-22, Arne Jørgensen <arne@arnested.dk> wrote:
>> Du kan jo afinstallere sshd (apt-get remove openssh-server).
>
> Hmm, husker du også forkert her? :) På min installation bliver sshd
> installeret med pakken ssh, som også indeholder klienten. Den vil jeg
> ikke af med, så jeg må nok vælge Sunes metode.

Nej

seamus% dpkg -S /usr/sbin/sshd
openssh-server: /usr/sbin/sshd

Men det er i unstable.

I stable er den ikke blevet delt (fjollet).

Det kan være jeg bare skal erkende det fredag og afholde mig fra at
rådgive i dag ...

mvh
/arne
--
Arne Jørgensen <http://arnested.dk/>

---

Arne Jørgensen <arne@arnested.dk> hit the keyboard.
Afterwards the following was on the screen:

> Lars Stokholm <stokholm@despammed.com> skriver:
>
>> On 2005-07-22, Arne Jørgensen <arne@arnested.dk> wrote:
>>> Du kan jo afinstallere sshd (apt-get remove openssh-server).
>>
>> Hmm, husker du også forkert her? :) På min installation bliver sshd
>> installeret med pakken ssh, som også indeholder klienten. Den vil jeg
>> ikke af med, så jeg må nok vælge Sunes metode.
>
> Nej

dpkg-reconfigure ssh

Her kan du vælge ikke at ville køre ssh-serveren.

> seamus% dpkg -S /usr/sbin/sshd
> openssh-server: /usr/sbin/sshd
>
> Men det er i unstable.
>
> I stable er den ikke blevet delt (fjollet).

Jeg synes nu ikke, det er fjollet - men lad nu det ligge. sshd ligger
i hvert fald ganske rigtigt i ssh-pakken i stable og openssh-server i
unstable.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
A wizard is never late, nor is he too early.
He arrives precisely when he wants to
-- Gandalf
----------------------------------------------[ moffe at zz9 dot dk ] --

---

Lars Stokholm <stokholm@despammed.com> hit the keyboard.
Afterwards the following was on the screen:

> On 2005-07-22, Arne Jørgensen <arne@arnested.dk> wrote:
>> Du kan jo afinstallere sshd (apt-get remove openssh-server).
>
> Nå ja, god idé.
>
>>> Er der nogen form for sikring imod at mennesker eller maskiner kan stå
>>> og gætte løs på root-kodeordet til de finder det?
>
> Det kunne jeg stadig godt tænke mig at få svar på. :)

Sørg for kun at tillade login med ssh-keys.

PasswordAuthentication no
UsePAM no
ChallengeResponseAuthentication no

burde slå kodeordslogin helt fra og kun tillade login med ssh-nøgler,
hvis jeg husker ret.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
DISCLAIMER: Microsoft, Windows, Windows 98, Bugs, Lacking features, IRQ
conflicts, System crashes, Non-functional multitasking, the Y2K problem
and the Blue Screen of Death are registered trademarks of
Microsoft, Corp., Redmond, USA.
----------------------------------------------[ moffe at zz9 dot dk ] --

---

On 22 Jul 2005 20:39:37 GMT, Lars wrote:

> Er der nogen form for sikring imod at mennesker eller maskiner kan
> stå og gætte løs på root-kodeordet til de finder det?

Ikke anden end at der er et time-out per forsøg, så man ikke bare kan
prøve løs med så mange forsøg som din processor kan håndtere - og
naturligvis dit fornuftigt valgte kodeord.

Det fornuftige er at slå root-login fra, som nævnt i tråden her - evt.
helt at udelukke kodeords-login.

Man kan også sætte sshd til kun at tillade udvalgte brugere/grupper at
logge ind med kodeord; en god måde at undgå at midlertidigt oprettede
brugere (til dette eller hint) med dårligt kodeord kan give adgang til
gættere.


Mvh.

--
"Lawrence of Suburbia Adam Sjøgren
Real life is murder" asjo@koldfront.dk

---

I dk.edb.system.unix, skrev Adam Sjøgren:
> On 22 Jul 2005 20:39:37 GMT, Lars wrote:
>
> > Er der nogen form for sikring imod at mennesker eller maskiner kan
> > stå og gætte løs på root-kodeordet til de finder det?
>
> Ikke anden end at der er et time-out per forsøg, så man ikke bare kan
> prøve løs med så mange forsøg som din processor kan håndtere - og
> naturligvis dit fornuftigt valgte kodeord.
>
> Det fornuftige er at slå root-login fra, som nævnt i tråden her - evt.
> helt at udelukke kodeords-login.
>
> Man kan også sætte sshd til kun at tillade udvalgte brugere/grupper at
> logge ind med kodeord; en god måde at undgå at midlertidigt oprettede
> brugere (til dette eller hint) med dårligt kodeord kan give adgang til
> gættere.

Jeg bruger:
AllowUsers jesper@*.dk osv. osv. jesper@80.160.116.123

Det fortælle sshd at den kun skal snakke med folk hvis brugeren hedder
jesper og har reverse-dns på .dk Der er ingen sikkerhed i det som sådan,
specielt ikke nu når jeg har fortalt på usenet at jeg har gjort det, men
ellers så mener jeg det er en Ok tilgangsvinkel.

Også kan man bruge "pwgen" til at lave ens passwords med. .. så man kan
få nogle relativt fornuftige passwords

Jesper
--
../Jesper Krogh, jesper@krogh.cc, Jabber ID: jesper@jabbernet.dk

---

Jesper Krogh skrev:

> AllowUsers jesper@*.dk osv. osv. jesper@80.160.116.123
>
> Det fortælle sshd at den kun skal snakke med folk hvis brugeren
> hedder jesper og har reverse-dns på .dk Der er ingen sikkerhed i det
> som sådan, specielt ikke nu når jeg har fortalt på usenet at jeg har
> gjort det, men ellers så mener jeg det er en Ok tilgangsvinkel.

Det er stadig en glimrende metode. Den beskytter dig ikke mod dem der
er specifikt ude efter din maskine, men den holder alle de irriterende
unger der bare er ude at fiske efter en maskine på afstand.

> Også kan man bruge "pwgen" til at lave ens passwords med. .. så man
> kan få nogle relativt fornuftige passwords

Jeg er vist ikke paranoid nok. Jeg genererer selv mine adgangskoder.
Og mine maskiner tillader vist alle at man logger ind hvorsomhelstfra
(bare man har min nøgle, mit brugernavn og den tilhørende adgangskode).

Jacob
--
Computere er ikke intelligente. Det er bare noget de tror.

---

Jacob Sparre Andersen <sparre@nbi.dk> writes:

> Jeg er vist ikke paranoid nok. Jeg genererer selv mine adgangskoder.
> Og mine maskiner tillader vist alle at man logger ind hvorsomhelstfra
> (bare man har min nøgle, mit brugernavn og den tilhørende
> adgangskode).

Hvordan opbevarer folk egentlig deres forskellige adgangskoder?
V.h.a. huskeregler, fysisk (papir), elektronisk/krypteret eller noget
helt fjerde?

--
M.v.h. Peter.
Toppostere og andre irriterende skribenter vil blive filtreret fra i stilhed.
http://funroll-loops.org/

---

Peter G. <peterg@despammed.com> skrev 2005-07-23:
> Jacob Sparre Andersen <sparre@nbi.dk> writes:
>
>> Jeg er vist ikke paranoid nok. Jeg genererer selv mine adgangskoder.
>> Og mine maskiner tillader vist alle at man logger ind hvorsomhelstfra
>> (bare man har min nøgle, mit brugernavn og den tilhørende
>> adgangskode).
>
> Hvordan opbevarer folk egentlig deres forskellige adgangskoder?
> V.h.a. huskeregler, fysisk (papir), elektronisk/krypteret eller noget
> helt fjerde?

Jeg plejer at bruge huskeregler.

Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel/Aethra routere.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

---

Peter G. wrote:
> Jacob Sparre Andersen <sparre@nbi.dk> writes:
>
>
>>Jeg er vist ikke paranoid nok. Jeg genererer selv mine adgangskoder.
>>Og mine maskiner tillader vist alle at man logger ind hvorsomhelstfra
>>(bare man har min nøgle, mit brugernavn og den tilhørende
>>adgangskode).
>
>
> Hvordan opbevarer folk egentlig deres forskellige adgangskoder?
> V.h.a. huskeregler, fysisk (papir), elektronisk/krypteret eller noget
> helt fjerde?
>

Jeg har lavet en krypteret fil, hvor alt står i klartekst. Så skal jeg
kun huske et enkelt 20 karakter langt password.

Jørn

---

Peter G. skrev:

> Hvordan opbevarer folk egentlig deres forskellige adgangskoder?
> V.h.a. huskeregler, fysisk (papir), elektronisk/krypteret eller
> noget helt fjerde?

Dem jeg selv vælger har jeg huskeregler for.

Dem jeg bliver tildelt har jeg typisk arkiveret på den form de blev
udleveret (papir/e-post).

Jacob
--
I teorien lyver folk ikke i retten.

---

Peter G. wrote:
> Hvordan opbevarer folk egentlig deres forskellige adgangskoder?
> V.h.a. huskeregler, fysisk (papir), elektronisk/krypteret eller noget
> helt fjerde?

   http://sikkerhed-faq.dk/brugere#adgangskoder

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Adam Sjøgren skrev:

> Det fornuftige er at slå root-login fra, som nævnt i tråden her
> - evt. helt at udelukke kodeords-login.

På Ubuntu har root slet ingen adgangskode.

Mvh,

--
Klaus Alexander Seistrup
Magnetic Ink, Copenhagen, Denmark
http://magnetic-ink.dk/

---

Alex Holst <a@mongers.org> writes:

> Peter G. wrote:
>> Hvordan opbevarer folk egentlig deres forskellige adgangskoder?
>> V.h.a. huskeregler, fysisk (papir), elektronisk/krypteret eller noget
>> helt fjerde?
>
>    http://sikkerhed-faq.dk/brugere#adgangskoder

God guide. Jeg tror jeg vil adoptere din og Jørns metode i form af en
GPG-passphrase krypteret tekstfil.

En tilføjelse til afsnittet kunne måske være et par links til en
begynder-GPG guide og en side om hvordan man vælger en god passphrase.

*Går hen i hjørnet for at sætte sig ind i GPG*

--
M.v.h. Peter.
Toppostere og andre irriterende skribenter vil blive filtreret fra i stilhed.
http://funroll-loops.org/

---

peterg@despammed.com (Peter G.) writes:

> Hvordan opbevarer folk egentlig deres forskellige adgangskoder?
> V.h.a. huskeregler, fysisk (papir), elektronisk/krypteret eller noget
> helt fjerde?

Jeg bruger http://gnukeyring.sourceforge.net/ paa min Palm.

--
Kim Hansen

---

On 2005-07-22, Lars Stokholm <stokholm@despammed.com> wrote:
> Jeg kan se at der er åbent på port 22 i min Debianinstallation, og den
> vil jeg egentlig gerne have lukket. Jeg regner med at det er programmet
> sshd der står for at holde det åbent (men i 'PID/Program-kolonnen' i
> netstat står '-', gad vide hvorfor). sshd lader sig dog ikke dræbe, og i
> øvrigt vil den jo også bare starte op, sammen med Debian næste gang.
> Hvordan slår jeg sshd (eller hvad der er ansvarlig for port 22) ihjel?

Det er sshd.

/etc/init.d/ssh stop

og hvis den ikke skal starte næste gang:

update-rc.d -f ssh remove

> Er der nogen form for sikring imod at mennesker eller maskiner kan stå
> og gætte løs på root-kodeordet til de finder det?

Du kan slå root-login via ssh fra:
$ grep PermitRootLogin /etc/ssh/sshd_config
PermitRootLogin no


> Er der andre ting jeg skal gøre, for at gøre min Debian mere sikker? Den
> fungerer ikke som server på nogen måder.

Du kan slå flere ting fra som du ikke bruger.

--
Sune

---

Lars Stokholm <stokholm@despammed.com> skriver:

>> Debians sshd er som udgangspunkt konfigureret til ikke at tillade
>> root-login.
>
> Nej, ikke her i hvert fald (3.1r0a). Men tak til jer begge.

Minsandten ja. Min hukommelse spiller mig et puds. Og min maskine var
sågar også åben (det har den nu ikke altid været -- så gad vide
hvornår jeg har fået ændret det).

mvh
/arne
--
Arne Jørgensen <http://arnested.dk/>