|
| ssh port og internettet Fra : TT |
Dato : 07-03-08 16:29 |
|
Hej,
jeg er ved at sætte en webserver op og har åbnet for port 80 i routeren
til serveren. Jeg kunne godt tænke mig at tilgå serveren udefra via ssh,
men hvor usikkert er det? serveren (debian) er altid patchet op & root
har ikke ssh login adgang.
Eller er der en anden mulighed?
Hilsen
TT
| |
Peter Makholm (07-03-2008)
| Kommentar Fra : Peter Makholm |
Dato : 07-03-08 18:00 |
|
TT <nomail@nomail.dk> writes:
> jeg er ved at sætte en webserver op og har åbnet for port 80 i
> routeren til serveren. Jeg kunne godt tænke mig at tilgå serveren
> udefra via ssh, men hvor usikkert er det? serveren (debian) er altid
> patchet op & root har ikke ssh login adgang.
Derudover ville jeg slå PasswordAuthentication fra i sshd_config og
bruge nøglebaseret authentikering istedet. Så ville jeg føle mig
rimelig sikker. Eventuelt ville jeg køre sshd på en anden port end
normalt, men mere for bare at undgå tåblige loginforsøg end for reelt
at øge sikkerheden.
//Makholm
| |
Jan Nielsen (07-03-2008)
| Kommentar Fra : Jan Nielsen |
Dato : 07-03-08 22:48 |
|
TT skrev:
> jeg er ved at sætte en webserver op og har åbnet for port 80 i routeren
> til serveren. Jeg kunne godt tænke mig at tilgå serveren udefra via ssh,
> men hvor usikkert er det? serveren (debian) er altid patchet op & root
> har ikke ssh login adgang.
Og brug AllowUsers til at begrænse hvilke users der kan logge ind, for
effektivt at gøre de scanners ubrugelige.
| |
Kent Friis (08-03-2008)
| Kommentar Fra : Kent Friis |
Dato : 08-03-08 07:48 |
|
Den Fri, 07 Mar 2008 22:48:07 +0100 skrev Jan Nielsen:
> TT skrev:
>> jeg er ved at sætte en webserver op og har åbnet for port 80 i routeren
>> til serveren. Jeg kunne godt tænke mig at tilgå serveren udefra via ssh,
>> men hvor usikkert er det? serveren (debian) er altid patchet op & root
>> har ikke ssh login adgang.
>
> Og brug AllowUsers til at begrænse hvilke users der kan logge ind, for
> effektivt at gøre de scanners ubrugelige.
Bliver forsøget ikke stadig logget?
Hvis man bruger public key auth, eller har et ordentligt password,
kommer de ikke ind uanset AllowUsers. Men forsøgene fylder stadig
en masse i logfilen.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Alex Holst (08-03-2008)
| Kommentar Fra : Alex Holst |
Dato : 08-03-08 08:33 |
|
Kent Friis <nospam@nospam.invalid> wrote:
> Hvis man bruger public key auth, eller har et ordentligt password,
> kommer de ikke ind uanset AllowUsers. Men fors?gene fylder stadig
> en masse i logfilen.
De fleste af de bruteforce forsøg benytter samme gamle libssh-0.1. Ved
at tilføje den identifier som en bug probe, bliver den remote host
disconnected før der forhandles kryptering og der står kun en linie
tekst i loggen i stedet for 3-4 linier.
miracle$ cd /usr/src/usr.bin/ssh
miracle$ cvs diff compat.c
Index: compat.c
===================================================================
RCS file: /var/ocvs/src/usr.bin/ssh/compat.c,v
retrieving revision 1.77
diff -u -r1.77 compat.c
--- compat.c 12 Dec 2006 03:58:42 -0000 1.77
+++ compat.c 2 May 2007 07:02:43 -0000
@@ -158,6 +158,8 @@
SSH_BUG_SCANNER },
{ "Probe-*",
SSH_BUG_PROBE },
+ { "libssh-0.1*",
+ SSH_BUG_PROBE },
{ NULL, 0 }
};
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/
| |
Jørn Hundebøll (08-03-2008)
| Kommentar Fra : Jørn Hundebøll |
Dato : 08-03-08 17:48 |
|
TT wrote:
> Hej,
>
> jeg er ved at sætte en webserver op og har åbnet for port 80 i routeren
> til serveren. Jeg kunne godt tænke mig at tilgå serveren udefra via ssh,
> men hvor usikkert er det? serveren (debian) er altid patchet op & root
> har ikke ssh login adgang.
>
> Eller er der en anden mulighed?
>
> Hilsen
> TT
Jeg har lavet en "hemmelig" side som jeg tilgår via webserveren, og der
er et script som starter/stopper ssh demonen. På den måde undgår jeg
dels at min logfil bliver fyldt med forsøg på at logge ind (det var
tidligere ca. 99% af logfilen) og dels undgår jeg at der faktisk er
nogen som kan logge ind. Men et godt password, ingen adgang for root -
så bør du være meget sikker.
Mit script - meget simpelt:
#!/bin/sh
sudo /etc/init.d/sshd start > /dev/null
echo Content-type: text/plain
echo
echo
echo
De fire echo linier er for at siden tager sig pænt ud browseren
Scriptet ejes af apache - og apache skal være i sudo bruger listen.
Jørn
| |
Alex Holst (08-03-2008)
| Kommentar Fra : Alex Holst |
Dato : 08-03-08 19:22 |
|
J?rn Hundeb?ll <spamnews5@dblue.dk> wrote:
> Jeg har lavet en "hemmelig" side som jeg tilg?r via webserveren, og der
> er et script som starter/stopper ssh demonen.
Don't bother. De nyeste udgaver af sshd har kun ganske lidt kode der
kører som root. Brug i stedet de indbyggede funktioner som key
authentication og begræsninger på hvilke IP adresser der kan logge ind.
Der findes også værktøjer til at rense dine logfiler eller du kan
overveje den patch jeg nævnte i et andet indlæg.
> Scriptet ejes af apache - og apache skal v?re i sudo bruger listen.
apache er i de fleste konfigurationer betydeligt større og farligere end
sshd - og at give den adgang til at udføre kommandoer som root hjælper
ikke ligefrem på problemet.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/
| |
Michael Rasmussen (08-03-2008)
| Kommentar Fra : Michael Rasmussen |
Dato : 08-03-08 20:12 |
|
On Sat, 08 Mar 2008 17:48:14 +0100, Jørn Hundebøll
<spamnews5@dblue.dk> wrote:
>Jeg har lavet en "hemmelig" side som jeg tilgår via webserveren, og der
>er et script som starter/stopper ssh demonen. På den måde undgår jeg
>dels at min logfil bliver fyldt med forsøg på at logge ind (det var
>tidligere ca. 99% af logfilen) og dels undgår jeg at der faktisk er
>nogen som kan logge ind. Men et godt password, ingen adgang for root -
>så bør du være meget sikker.
>
>Mit script - meget simpelt:
>
>#!/bin/sh
>sudo /etc/init.d/sshd start > /dev/null
>echo Content-type: text/plain
>echo
>echo
>echo
Lyder som en meget tvivlsom metode som næppe kan anbefales...
Hvis du gerne vil undgå en fyldt logfil - som iøvrigt er en helt
uskadelig ting - var det måske smartere at flytte ssh-serveren til en
alternativ port, der ikke polles af alverdens hackere....
<mlr>
| |
Adam Sjøgren (08-03-2008)
| Kommentar Fra : Adam Sjøgren |
Dato : 08-03-08 17:52 |
|
On Sat, 08 Mar 2008 17:48:14 +0100, Jørn wrote:
>> Jeg kunne godt tænke mig at tilgå serveren udefra via ssh, men hvor
>> usikkert er det?
[...]
> Scriptet ejes af apache - og apache skal være i sudo bruger listen.
Din løsning på at sikre ssh inkluderer at give webserveren sudo
rettigheder?
Så må man håbe er er færre huller i Apache og de ting man benytter i
den, end i sshd.
Mvh.
Adam
--
"Achtung, babies!" Adam Sjøgren
asjo@koldfront.dk
| |
Kent Friis (08-03-2008)
| Kommentar Fra : Kent Friis |
Dato : 08-03-08 17:54 |
|
Den Sat, 08 Mar 2008 17:51:36 +0100 skrev Adam Sjøgren:
> On Sat, 08 Mar 2008 17:48:14 +0100, Jørn wrote:
>
>>> Jeg kunne godt tænke mig at tilgå serveren udefra via ssh, men hvor
>>> usikkert er det?
>
> [...]
>
>> Scriptet ejes af apache - og apache skal være i sudo bruger listen.
>
> Din løsning på at sikre ssh inkluderer at give webserveren sudo
> rettigheder?
>
> Så må man håbe er er færre huller i Apache og de ting man benytter i
> den, end i sshd.
Det er lidt ligesom at håbe på en 13'er i tips?
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Jacob Gaarde (09-03-2008)
| Kommentar Fra : Jacob Gaarde |
Dato : 09-03-08 00:35 |
|
On Sat, 08 Mar 2008 20:11:41 +0100
Michael Rasmussen <michael@invalid> wrote:
> >Jeg har lavet en "hemmelig" side som jeg tilgår via webserveren, og der
> >er et script som starter/stopper ssh demonen. På den måde undgår jeg
--SNIP--
> Lyder som en meget tvivlsom metode som næppe kan anbefales...
Meget
>
> Hvis du gerne vil undgå en fyldt logfil - som iøvrigt er en helt
> uskadelig ting - var det måske smartere at flytte ssh-serveren til en
> alternativ port, der ikke polles af alverdens hackere....
eller installere denyhosts og/eller fail2ban
--
//Jacob Gaarde
//Dont reply to my (aparent) e-mail address. Instead Use
//e-mail : gaarde <at> mailme <dot> dk
| |
|
|