Passwords, challenge-response, en root login uitzetten in sshd_config, en netjes je OS updates doen, dan zal er niet zo veel misgaan.quote:Op zaterdag 30 november 2013 23:28 schreef relativity het volgende:
Iemand wat ideeen/tips om ssh meer te beveiligen?
Wil hem vanaf random ip's benaderen.
Heb nu fail2ban en poort 1337, misschien keys?
Inderdaad root blokkeren.quote:Op zondag 1 december 2013 10:37 schreef KomtTijd... het volgende:
Fail2ban en een stevig wachtwoord is wmbt voldoende. Alleen keys accepteren zou nog beter zijn denk ik ja. En dingen als je root account blokkeren en geen sudo toestaan.
Security through obscurity noemen ze dat. Helpt maar zelden eigenlijk. Als iemand gewoon een portscan doet zien ze die poort ook gewoon openstaan en dan proberen ze er echt wel naartoe te ssh'en. De enige reden om een service op een andere poort te draaien is als er twee services conflicteren (bijv. 2 verschillende webservers op 1 server etc.)quote:Op zondag 1 december 2013 10:46 schreef t4rt4rus het volgende:
[..]
Ik heb nu ook maar eens de poort veranderd, lijkt me ook wat veiliger.
Ja ok maar je filtert er al wel allemaal chinezen uit die alle ip's afgaan op poort 22.quote:Op zondag 1 december 2013 10:56 schreef nyny83 het volgende:
[..]
Security through obscurity noemen ze dat. Helpt maar zelden eigenlijk. Als iemand gewoon een portscan doet zien ze die poort ook gewoon openstaan en dan proberen ze er echt wel naartoe te ssh'en. De enige reden om een service op een andere poort te draaien is als er twee services conflicteren (bijv. 2 verschillende webservers op 1 server etc.)
Wat vooral van belang is, is dat je inderdaad je SSH zelf goed beveiligt door netjes de (security) updates te doen, sterke passwords gebruikt en eventueel met een certificaat werken als je echt veilig wilt zijn.
Poort veranderen helpt prima tegen routinematige scans, die het gros van de aanvallen vertegenwoordigen.quote:Op zondag 1 december 2013 10:56 schreef nyny83 het volgende:
[..]
Security through obscurity noemen ze dat. Helpt maar zelden eigenlijk. Als iemand gewoon een portscan doet zien ze die poort ook gewoon openstaan en dan proberen ze er echt wel naartoe te ssh'en. De enige reden om een service op een andere poort te draaien is als er twee services conflicteren (bijv. 2 verschillende webservers op 1 server etc.)
Heb al een redelijk sterk wachtwoord. Security updates gaan automatisch. Fail2ban staat op permanente ban naar 3 retries.quote:Op zondag 1 december 2013 10:41 schreef eleusis het volgende:
[..]
Passwords, challenge-response, en root login uitzetten in sshd_config, en netjes je OS updates doen, dan zal er niet zo veel misgaan.
Haha ook al. Ik heb eigenlijk zin om hun ook eens te scannen met nmap en metasploit erover heen te latenquote:Op zondag 1 december 2013 10:46 schreef t4rt4rus het volgende:
[..]
Inderdaad root blokkeren.
Bij mij in de logs zijn het allemaal chinezen die root proberen.
Ik heb nu ook maar eens de poort veranderd, lijkt me ook wat veiliger.
Sinds ik hem op poort 1337 draai heb ik geen scans meer gehad.quote:Op zondag 1 december 2013 10:56 schreef nyny83 het volgende:
[..]
Security through obscurity noemen ze dat. Helpt maar zelden eigenlijk. Als iemand gewoon een portscan doet zien ze die poort ook gewoon openstaan en dan proberen ze er echt wel naartoe te ssh'en. De enige reden om een service op een andere poort te draaien is als er twee services conflicteren (bijv. 2 verschillende webservers op 1 server etc.)
Wat vooral van belang is, is dat je inderdaad je SSH zelf goed beveiligt door netjes de (security) updates te doen, sterke passwords gebruikt en eventueel met een certificaat werken als je echt veilig wilt zijn.
Nee inderdaad, maar het is wel 'meer verborgen' voor standaard poortscans.quote:Op zondag 1 december 2013 13:49 schreef nyny83 het volgende:
Mooi stukje wel. SSH zelf wordt er niet veiliger van, maar je hebt gelijk: het risico wordt minder groot omdat het aantal aanvallers dat je SSH daemon gaat vinden kleiner wordt. Er zitten overigens wel wat nadelen aan qua gebruiksgemak en wellicht het openstellen van firewall regels vanuit andere netwerken.
1 2 3 4 5 | Dec 1 15:38:42 oxytocine-pc sshd[27253]: Server listening on 0.0.0.0 port 1337. Dec 1 15:38:42 oxytocine-pc sshd[27253]: Server listening on :: port 1337. Dec 1 15:39:01 oxytocine-pc sshd[27255]: reverse mapping checking getaddrinfo for static.kpn.net [92.69.x.x] failed - POSSIBLE BREAK-IN ATTEMPT! Dec 1 15:39:01 oxytocine-pc sshd[27255]: Accepted password for mainstream from 92.69.x.x port 6612 ssh2 Dec 1 15:39:01 oxytocine-pc sshd[27255]: pam_unix(sshd:session): session opened for user mainstream by (uid=0) |
Je kan root-logins toestaan vanaf een bepaald netwerk iirc. Maar ik ben voor het uitzetten van root-access. Regel dat via sudo oid.quote:Op zondag 1 december 2013 15:46 schreef relativity het volgende:
[..]
Heb al een redelijk sterk wachtwoord. Security updates gaan automatisch. Fail2ban staat op permanente ban naar 3 retries.
Root staat wel nog aan, dat vond ik altijd wel handig maar misschien niet zo slim nee.
Ssh op een hoge poort vind ik persoonlijk een slecht plan. Die poorten kun je openen zonder root..quote:Op zondag 1 december 2013 19:47 schreef HalveZware het volgende:
Voor de volgende:
- SSH op Random-poort ( liefst boven de 1024 )
- Fail2Ban Configgen
- PermitRootLogin = false in sshd config
- Sanity
- More Sanity
Yeah,so?quote:Op zondag 1 december 2013 20:17 schreef µ het volgende:
[..]
Ssh op een hoge poort vind ik persoonlijk een slecht plan. Die poorten kun je openen zonder root..
Security by obscurity is een slecht plan.quote:Op zondag 1 december 2013 20:23 schreef HalveZware het volgende:
[..]
Yeah,so?
je draait je SSHD op je eigen server? en dan? ik zou dan de SSHD vooral niet als root draaien :-) meeteen weer een beveiligings lek gedicht ?
Klopt, dat lijkt eigenlijk nog de beste mix als ik de stukken een beetje lees. Je beschermt je nog altijd tegen het gros van de simpele routinescans EN je hebt je SSH daemon met de juiste rechten e.d. draaien.quote:Op zondag 1 december 2013 22:08 schreef AchJa het volgende:
Als je aan portforwarding hebt gedaan in je router, bv 22 int naar 1000 ext heb je dat probleem toch niet?
Je realiseert je hopelijk wel dat deze post ongeveer de grootse combinatie van drogredenen allestijden is?quote:Op zondag 1 december 2013 21:47 schreef µ het volgende:
[..]
Security by obscurity is een slecht plan.
Zie:
http://www.adayinthelifeo(...)than-22-is-bad-idea/
Dus? Je kan sshd dan non-root draaien. Omder Solaris 10 en up kan je non-root users rechten geven om op poorten < 1024 te laten openen. Zo kan je dus procs laten draaien zonder root permissies, which is a good thing.quote:Op zondag 1 december 2013 20:17 schreef µ het volgende:
[..]
Ssh op een hoge poort vind ik persoonlijk een slecht plan. Die poorten kun je openen zonder root..
Volgens mij draaien <1024-services eerst als root en droppen ze daarna hun privileges...quote:Op maandag 2 december 2013 07:12 schreef slacker_nl het volgende:
[..]
Dus? Je kan sshd dan non-root draaien. Omder Solaris 10 en up kan je non-root users rechten geven om op poorten < 1024 te laten openen. Zo kan je dus procs laten draaien zonder root permissies, which is a good thing.
quote:Op maandag 2 december 2013 08:28 schreef µ het volgende:
[..]
Volgens mij draaien <1024-services eerst als root en droppen ze daarna hun privileges...
1 2 3 4 5 6 7 8 9 10 11 12 13 | ps -fp $(pgrep apache ) UID PID PPID C STIME TTY STAT TIME CMD root 14854 1 0 Aug28 ? Ss 3:39 /usr/sbin/apache2 -k start www-data 19194 14854 0 Dec01 ? S 0:00 /usr/sbin/apache2 -k start www-data 19198 14854 0 Dec01 ? Sl 0:00 /usr/sbin/apache2 -k start www-data 19294 14854 0 Dec01 ? Sl 0:00 /usr/sbin/apache2 -k start ps -fp $(pgrep sshd ) UID PID PPID C STIME TTY STAT TIME CMD root 6359 32440 0 Nov26 ? Ss 0:00 sshd: xxxx [priv] xxxx 6362 6359 0 Nov26 ? S 1:41 sshd: xxxx@notty root 7786 32440 0 Nov26 ? Ss 0:00 sshd: xxxx [priv] xxxx 7789 7786 0 Nov26 ? S 0:04 sshd: xxxxx@pts/42 |
AH mooi, dan zit ik momenteel wel goedquote:Op zondag 1 december 2013 19:47 schreef HalveZware het volgende:
Voor de volgende:
- SSH op Random-poort ( liefst boven de 1024 )
- Fail2Ban Configgen
- PermitRootLogin = false in sshd config
- Sanity
- More Sanity
1 2 3 4 5 6 | Port 2222 PermitRootLogin no ## TEST ROOT LOGINS FROM SPECIFIC NETWORKS Match Address je.ip.add.ress PermitRootLogin yes |
1 2 | # Start je sshd sudo $(which sshd) -f sshd_config -d |
1 2 3 4 5 6 | ssh root@je-vps.nl -p 2222 root@je-vps's password: Linux hosted-by 2.6.26-2-686-bigmem #1 SMP Thu Jan 27 01:21:02 UTC 2011 i686 The programs included with the Debian GNU/Linux system are free software; |
1 2 3 4 5 6 7 8 | debug1: connection from xxx matched 'Address xxx' at line 80 debug1: PAM: initializing for "root" debug1: PAM: setting PAM_RHOST to "xxxx" debug1: PAM: setting PAM_TTY to "ssh" Failed none for root from xxxx port 57537 ssh2 debug1: userauth-request for user root service ssh-connection method publickey [snip] Accepted password for root from xxxx port 57537 ssh2 |
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |