/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
ssh port og internettet
Fra : TT


Dato : 07-03-08 16:29

Hej,

jeg er ved at sætte en webserver op og har åbnet for port 80 i routeren
til serveren. Jeg kunne godt tænke mig at tilgå serveren udefra via ssh,
men hvor usikkert er det? serveren (debian) er altid patchet op & root
har ikke ssh login adgang.

Eller er der en anden mulighed?

Hilsen
TT

 
 
Peter Makholm (07-03-2008)
Kommentar
Fra : Peter Makholm


Dato : 07-03-08 18:00

TT <nomail@nomail.dk> writes:

> jeg er ved at sætte en webserver op og har åbnet for port 80 i
> routeren til serveren. Jeg kunne godt tænke mig at tilgå serveren
> udefra via ssh, men hvor usikkert er det? serveren (debian) er altid
> patchet op & root har ikke ssh login adgang.

Derudover ville jeg slå PasswordAuthentication fra i sshd_config og
bruge nøglebaseret authentikering istedet. Så ville jeg føle mig
rimelig sikker. Eventuelt ville jeg køre sshd på en anden port end
normalt, men mere for bare at undgå tåblige loginforsøg end for reelt
at øge sikkerheden.

//Makholm

Jan Nielsen (07-03-2008)
Kommentar
Fra : Jan Nielsen


Dato : 07-03-08 22:48

TT skrev:
> jeg er ved at sætte en webserver op og har åbnet for port 80 i routeren
> til serveren. Jeg kunne godt tænke mig at tilgå serveren udefra via ssh,
> men hvor usikkert er det? serveren (debian) er altid patchet op & root
> har ikke ssh login adgang.

Og brug AllowUsers til at begrænse hvilke users der kan logge ind, for
effektivt at gøre de scanners ubrugelige.

Kent Friis (08-03-2008)
Kommentar
Fra : Kent Friis


Dato : 08-03-08 07:48

Den Fri, 07 Mar 2008 22:48:07 +0100 skrev Jan Nielsen:
> TT skrev:
>> jeg er ved at sætte en webserver op og har åbnet for port 80 i routeren
>> til serveren. Jeg kunne godt tænke mig at tilgå serveren udefra via ssh,
>> men hvor usikkert er det? serveren (debian) er altid patchet op & root
>> har ikke ssh login adgang.
>
> Og brug AllowUsers til at begrænse hvilke users der kan logge ind, for
> effektivt at gøre de scanners ubrugelige.

Bliver forsøget ikke stadig logget?

Hvis man bruger public key auth, eller har et ordentligt password,
kommer de ikke ind uanset AllowUsers. Men forsøgene fylder stadig
en masse i logfilen.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Alex Holst (08-03-2008)
Kommentar
Fra : Alex Holst


Dato : 08-03-08 08:33

Kent Friis <nospam@nospam.invalid> wrote:
> Hvis man bruger public key auth, eller har et ordentligt password,
> kommer de ikke ind uanset AllowUsers. Men fors?gene fylder stadig
> en masse i logfilen.

De fleste af de bruteforce forsøg benytter samme gamle libssh-0.1. Ved
at tilføje den identifier som en bug probe, bliver den remote host
disconnected før der forhandles kryptering og der står kun en linie
tekst i loggen i stedet for 3-4 linier.

miracle$ cd /usr/src/usr.bin/ssh
miracle$ cvs diff compat.c
Index: compat.c
===================================================================
RCS file: /var/ocvs/src/usr.bin/ssh/compat.c,v
retrieving revision 1.77
diff -u -r1.77 compat.c
--- compat.c 12 Dec 2006 03:58:42 -0000 1.77
+++ compat.c 2 May 2007 07:02:43 -0000
@@ -158,6 +158,8 @@
SSH_BUG_SCANNER },
{ "Probe-*",
SSH_BUG_PROBE },
+ { "libssh-0.1*",
+ SSH_BUG_PROBE },
{ NULL, 0 }
};



--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/

Jørn Hundebøll (08-03-2008)
Kommentar
Fra : Jørn Hundebøll


Dato : 08-03-08 17:48

TT wrote:
> Hej,
>
> jeg er ved at sætte en webserver op og har åbnet for port 80 i routeren
> til serveren. Jeg kunne godt tænke mig at tilgå serveren udefra via ssh,
> men hvor usikkert er det? serveren (debian) er altid patchet op & root
> har ikke ssh login adgang.
>
> Eller er der en anden mulighed?
>
> Hilsen
> TT


Jeg har lavet en "hemmelig" side som jeg tilgår via webserveren, og der
er et script som starter/stopper ssh demonen. På den måde undgår jeg
dels at min logfil bliver fyldt med forsøg på at logge ind (det var
tidligere ca. 99% af logfilen) og dels undgår jeg at der faktisk er
nogen som kan logge ind. Men et godt password, ingen adgang for root -
så bør du være meget sikker.

Mit script - meget simpelt:

#!/bin/sh
sudo /etc/init.d/sshd start > /dev/null
echo Content-type: text/plain
echo
echo
echo



De fire echo linier er for at siden tager sig pænt ud browseren

Scriptet ejes af apache - og apache skal være i sudo bruger listen.

Jørn


Alex Holst (08-03-2008)
Kommentar
Fra : Alex Holst


Dato : 08-03-08 19:22

J?rn Hundeb?ll <spamnews5@dblue.dk> wrote:
> Jeg har lavet en "hemmelig" side som jeg tilg?r via webserveren, og der
> er et script som starter/stopper ssh demonen.

Don't bother. De nyeste udgaver af sshd har kun ganske lidt kode der
kører som root. Brug i stedet de indbyggede funktioner som key
authentication og begræsninger på hvilke IP adresser der kan logge ind.

Der findes også værktøjer til at rense dine logfiler eller du kan
overveje den patch jeg nævnte i et andet indlæg.

> Scriptet ejes af apache - og apache skal v?re i sudo bruger listen.

apache er i de fleste konfigurationer betydeligt større og farligere end
sshd - og at give den adgang til at udføre kommandoer som root hjælper
ikke ligefrem på problemet.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org/

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk/

Michael Rasmussen (08-03-2008)
Kommentar
Fra : Michael Rasmussen


Dato : 08-03-08 20:12

On Sat, 08 Mar 2008 17:48:14 +0100, Jørn Hundebøll
<spamnews5@dblue.dk> wrote:

>Jeg har lavet en "hemmelig" side som jeg tilgår via webserveren, og der
>er et script som starter/stopper ssh demonen. På den måde undgår jeg
>dels at min logfil bliver fyldt med forsøg på at logge ind (det var
>tidligere ca. 99% af logfilen) og dels undgår jeg at der faktisk er
>nogen som kan logge ind. Men et godt password, ingen adgang for root -
>så bør du være meget sikker.
>
>Mit script - meget simpelt:
>
>#!/bin/sh
>sudo /etc/init.d/sshd start > /dev/null
>echo Content-type: text/plain
>echo
>echo
>echo

Lyder som en meget tvivlsom metode som næppe kan anbefales...

Hvis du gerne vil undgå en fyldt logfil - som iøvrigt er en helt
uskadelig ting - var det måske smartere at flytte ssh-serveren til en
alternativ port, der ikke polles af alverdens hackere....

<mlr>

Adam Sjøgren (08-03-2008)
Kommentar
Fra : Adam Sjøgren


Dato : 08-03-08 17:52

On Sat, 08 Mar 2008 17:48:14 +0100, Jørn wrote:

>> Jeg kunne godt tænke mig at tilgå serveren udefra via ssh, men hvor
>> usikkert er det?

[...]

> Scriptet ejes af apache - og apache skal være i sudo bruger listen.

Din løsning på at sikre ssh inkluderer at give webserveren sudo
rettigheder?

Så må man håbe er er færre huller i Apache og de ting man benytter i
den, end i sshd.


Mvh.

Adam

--
"Achtung, babies!" Adam Sjøgren
asjo@koldfront.dk

Kent Friis (08-03-2008)
Kommentar
Fra : Kent Friis


Dato : 08-03-08 17:54

Den Sat, 08 Mar 2008 17:51:36 +0100 skrev Adam Sjøgren:
> On Sat, 08 Mar 2008 17:48:14 +0100, Jørn wrote:
>
>>> Jeg kunne godt tænke mig at tilgå serveren udefra via ssh, men hvor
>>> usikkert er det?
>
> [...]
>
>> Scriptet ejes af apache - og apache skal være i sudo bruger listen.
>
> Din løsning på at sikre ssh inkluderer at give webserveren sudo
> rettigheder?
>
> Så må man håbe er er færre huller i Apache og de ting man benytter i
> den, end i sshd.

Det er lidt ligesom at håbe på en 13'er i tips?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Jacob Gaarde (09-03-2008)
Kommentar
Fra : Jacob Gaarde


Dato : 09-03-08 00:35

On Sat, 08 Mar 2008 20:11:41 +0100
Michael Rasmussen <michael@invalid> wrote:

> >Jeg har lavet en "hemmelig" side som jeg tilgår via webserveren, og der
> >er et script som starter/stopper ssh demonen. På den måde undgår jeg

--SNIP--

> Lyder som en meget tvivlsom metode som næppe kan anbefales...

Meget

>
> Hvis du gerne vil undgå en fyldt logfil - som iøvrigt er en helt
> uskadelig ting - var det måske smartere at flytte ssh-serveren til en
> alternativ port, der ikke polles af alverdens hackere....

eller installere denyhosts og/eller fail2ban


--
//Jacob Gaarde
//Dont reply to my (aparent) e-mail address. Instead Use
//e-mail : gaarde <at> mailme <dot> dk


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste