DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
. Welkom in het grote linux- en unixtopic .Voor je je vraag post:
Lees eerst de FAQ - Linux/BSD van Lucille door.
Enkele Bekende Distributies
BSD/Unix
• FreeBSD - Download Documentatie
• NetBSD - Download Documentatie
• SUN Solaris - Download
• PC-BSD - Download
Linux
• Arch Linux - Download - Documentatie
• Fedora - Download - Documentatie
• Debian - Download - Documentatie
• Gentoo - Download - Documentatie
• Mandriva - Download - Documentatie (voorheen Mandrake)
• Slackware - Download - Documentatie
• Suse Linux - Download - Documentatie
• Knoppix - Download - Documentatie
• Ubuntu - Download - Documentatie
• CentOS - Download - Documentatie(5.x)
• RedHat - Documentatie
• PCLinuxOS - Download
• Linux Mint - Download - Documentatie
Gespecialiseerde Distributies
• Linux and BSD-based Firewalls and Broadband Routers
• CD-based Linux Distributions (Live CDs)
Meer distributies...
The Linux Documentation Project
Er is ook een Fok!Wiki pagina voor Linux!
Test *HIER* welke Linux distributie bij je past!
Game on!
Iemand wat ideeen/tips om ssh meer te beveiligen?
Wil hem vanaf random ip's benaderen.
Heb nu fail2ban en poort 1337, misschien keys?
Wil hem vanaf random ip's benaderen.
Heb nu fail2ban en poort 1337, misschien keys?
Aim at perfection in everything, though in most things it is unattainable. However, they who aim at it, and persevere, will come much nearer to it than those whose laziness and despondency make them give it up as unattainable.
Fail2ban en een stevig wachtwoord is wmbt voldoende. Alleen keys accepteren zou nog beter zijn denk ik ja. En dingen als je root account blokkeren en geen sudo toestaan.
Passwords, challenge-response, en root login uitzetten in sshd_config, en netjes je OS updates doen, dan zal er niet zo veel misgaan.quote:Op zaterdag 30 november 2013 23:28 schreef relativity het volgende:
Iemand wat ideeen/tips om ssh meer te beveiligen?
Wil hem vanaf random ip's benaderen.
Heb nu fail2ban en poort 1337, misschien keys?
Ik in een aantal worden omschreven: Ondernemend | Moedig | Stout | Lief | Positief | Intuïtief | Communicatief | Humor | Creatief | Spontaan | Open | Sociaal | Vrolijk | Organisator | Pro-actief | Meedenkend | Levensgenieter | Spiritueel
Inderdaad root blokkeren.quote:Op zondag 1 december 2013 10:37 schreef KomtTijd... het volgende:
Fail2ban en een stevig wachtwoord is wmbt voldoende. Alleen keys accepteren zou nog beter zijn denk ik ja. En dingen als je root account blokkeren en geen sudo toestaan.
Bij mij in de logs zijn het allemaal chinezen die root proberen.
Ik heb nu ook maar eens de poort veranderd, lijkt me ook wat veiliger.
Security through obscurity noemen ze dat. Helpt maar zelden eigenlijk. Als iemand gewoon een portscan doet zien ze die poort ook gewoon openstaan en dan proberen ze er echt wel naartoe te ssh'en. De enige reden om een service op een andere poort te draaien is als er twee services conflicteren (bijv. 2 verschillende webservers op 1 server etc.)quote:
[..]
Ik heb nu ook maar eens de poort veranderd, lijkt me ook wat veiliger.
Wat vooral van belang is, is dat je inderdaad je SSH zelf goed beveiligt door netjes de (security) updates te doen, sterke passwords gebruikt en eventueel met een certificaat werken als je echt veilig wilt zijn.
Vicariously I live while the whole world dies
Ja ok maar je filtert er al wel allemaal chinezen uit die alle ip's afgaan op poort 22.quote:
[..]
Security through obscurity noemen ze dat. Helpt maar zelden eigenlijk. Als iemand gewoon een portscan doet zien ze die poort ook gewoon openstaan en dan proberen ze er echt wel naartoe te ssh'en. De enige reden om een service op een andere poort te draaien is als er twee services conflicteren (bijv. 2 verschillende webservers op 1 server etc.)
Wat vooral van belang is, is dat je inderdaad je SSH zelf goed beveiligt door netjes de (security) updates te doen, sterke passwords gebruikt en eventueel met een certificaat werken als je echt veilig wilt zijn.
[ Bericht 6% gewijzigd door t4rt4rus op 01-12-2013 11:41:11 ]
Poort veranderen helpt prima tegen routinematige scans, die het gros van de aanvallen vertegenwoordigen.quote:
[..]
Security through obscurity noemen ze dat. Helpt maar zelden eigenlijk. Als iemand gewoon een portscan doet zien ze die poort ook gewoon openstaan en dan proberen ze er echt wel naartoe te ssh'en. De enige reden om een service op een andere poort te draaien is als er twee services conflicteren (bijv. 2 verschillende webservers op 1 server etc.)
Op de meeste machines zie ik honderden scans per dag op poort 22, maar op een rare poort zie je nooit iemand; daar gaan mensen alleen kijken als ze jou specifiek moeten hebben, en dan vaak nog niet (ze bekijken bijv. alleen de poorten die nmap default meeneemt)
Hier een prima essay over 'security through obscurity as a layer': http://www.danielmiessler.com/study/security_and_obscurity/
Ik in een aantal worden omschreven: Ondernemend | Moedig | Stout | Lief | Positief | Intuïtief | Communicatief | Humor | Creatief | Spontaan | Open | Sociaal | Vrolijk | Organisator | Pro-actief | Meedenkend | Levensgenieter | Spiritueel
Mooi stukje wel. SSH zelf wordt er niet veiliger van, maar je hebt gelijk: het risico wordt minder groot omdat het aantal aanvallers dat je SSH daemon gaat vinden kleiner wordt. Er zitten overigens wel wat nadelen aan qua gebruiksgemak en wellicht het openstellen van firewall regels vanuit andere netwerken.
Vicariously I live while the whole world dies
Heb al een redelijk sterk wachtwoord. Security updates gaan automatisch. Fail2ban staat op permanente ban naar 3 retries.quote:Op zondag 1 december 2013 10:41 schreef eleusis het volgende:
[..]
Passwords, challenge-response, en root login uitzetten in sshd_config, en netjes je OS updates doen, dan zal er niet zo veel misgaan.
Root staat wel nog aan, dat vond ik altijd wel handig
maar misschien niet zo slim nee.Haha ook al. Ik heb eigenlijk zin om hun ook eens te scannen met nmap en metasploit erover heen te latenquote:
[..]
Inderdaad root blokkeren.
Bij mij in de logs zijn het allemaal chinezen die root proberen.
Ik heb nu ook maar eens de poort veranderd, lijkt me ook wat veiliger.
Sinds ik hem op poort 1337 draai heb ik geen scans meer gehad.quote:
[..]
Security through obscurity noemen ze dat. Helpt maar zelden eigenlijk. Als iemand gewoon een portscan doet zien ze die poort ook gewoon openstaan en dan proberen ze er echt wel naartoe te ssh'en. De enige reden om een service op een andere poort te draaien is als er twee services conflicteren (bijv. 2 verschillende webservers op 1 server etc.)
Wat vooral van belang is, is dat je inderdaad je SSH zelf goed beveiligt door netjes de (security) updates te doen, sterke passwords gebruikt en eventueel met een certificaat werken als je echt veilig wilt zijn.
Wordt inderdaad nauwelijks op gescand. Ze scannen toch hele ranges in een keer op bepaalde ip's.
Nee inderdaad, maar het is wel 'meer verborgen' voor standaard poortscans.quote:
Mooi stukje wel. SSH zelf wordt er niet veiliger van, maar je hebt gelijk: het risico wordt minder groot omdat het aantal aanvallers dat je SSH daemon gaat vinden kleiner wordt. Er zitten overigens wel wat nadelen aan qua gebruiksgemak en wellicht het openstellen van firewall regels vanuit andere netwerken.
Ik heb wel een probleem trouwens:
Vanuit mijn eigen netwerk kan ik makkelijk de poorten forwarden op mijn telefoon.
Maar zo gauw als ik wifi uitzet, werkt het niet meer. Iemand enig idee?
Ik heb in hosts.allow even ALL : ALL gezet, maar nog niks...
ook .kpn.net staat erin, maar krijg nog steeds deze melding:
mainstream@oxytocine-pc:~$ cat /var/log/auth.log
| 1 2 3 4 5 | Dec 1 15:38:42 oxytocine-pc sshd[27253]: Server listening on 0.0.0.0 port 1337. Dec 1 15:38:42 oxytocine-pc sshd[27253]: Server listening on :: port 1337. Dec 1 15:39:01 oxytocine-pc sshd[27255]: reverse mapping checking getaddrinfo for static.kpn.net [92.69.x.x] failed - POSSIBLE BREAK-IN ATTEMPT! Dec 1 15:39:01 oxytocine-pc sshd[27255]: Accepted password for mainstream from 92.69.x.x port 6612 ssh2 Dec 1 15:39:01 oxytocine-pc sshd[27255]: pam_unix(sshd:session): session opened for user mainstream by (uid=0) |
Ik heb bijv guacamole (webdaemon voor vnc lokaal draaien) die ik dan via ssh tunneling kan bereiken. Maar dat werkt niet
Alleen binnen mijn netwerk?Kan het de router zijn die ervoor zorgt dat ik geen verbinding kan maken?
[ Bericht 2% gewijzigd door relativity op 01-12-2013 15:53:02 ]
Aim at perfection in everything, though in most things it is unattainable. However, they who aim at it, and persevere, will come much nearer to it than those whose laziness and despondency make them give it up as unattainable.
Je kan root-logins toestaan vanaf een bepaald netwerk iirc. Maar ik ben voor het uitzetten van root-access. Regel dat via sudo oid.quote:
[..]
Heb al een redelijk sterk wachtwoord. Security updates gaan automatisch. Fail2ban staat op permanente ban naar 3 retries.
Root staat wel nog aan, dat vond ik altijd wel handig
Ik heb zelf ook een iptables rule voor sshd:
$IPTABLES -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
$IPTABLES -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 30 --hitcount 15 -j DROP
En fail2ban draait ook mee, plus ik heb een x-aantal whitelisted IP adressen in m'n firewall, daarvoor gelden geen ban-regels. Want vanaf thuis/werk vertrouw ik het wel.
In theory there is no difference between theory and practice. In practice there is.
Je zou eventueel ook met port knocking kunnen gaan werken. Daar wil ik ook nog eens wat mee gaan doen, maar ben te lui om het uit te zoeken. Paar vuurmuurregels voldoen
In theory there is no difference between theory and practice. In practice there is.
Oke bedankt allemaal voor de tips
Heb het nu wel naar tevredenheid draaien.
Heb ook een vpn server geïnstalleerd zodat het wat makkelijk is om alles te bereiken werkt wat eenvoudiger dan poort tunneling e.d.
Heb het nu wel naar tevredenheid draaien.
Heb ook een vpn server geïnstalleerd zodat het wat makkelijk is om alles te bereiken
werkt wat eenvoudiger dan poort tunneling e.d.
Aim at perfection in everything, though in most things it is unattainable. However, they who aim at it, and persevere, will come much nearer to it than those whose laziness and despondency make them give it up as unattainable.
Voor de volgende:
- SSH op Random-poort ( liefst boven de 1024 )
- Fail2Ban Configgen
- PermitRootLogin = false in sshd config
- Sanity
- More Sanity
- SSH op Random-poort ( liefst boven de 1024 )
- Fail2Ban Configgen
- PermitRootLogin = false in sshd config
- Sanity
- More Sanity
Ssh op een hoge poort vind ik persoonlijk een slecht plan. Die poorten kun je openen zonder root..quote:Op zondag 1 december 2013 19:47 schreef HalveZware het volgende:
Voor de volgende:
- SSH op Random-poort ( liefst boven de 1024 )
- Fail2Ban Configgen
- PermitRootLogin = false in sshd config
- Sanity
- More Sanity
జ్ఞా
Yeah,so?quote:
[..]
Ssh op een hoge poort vind ik persoonlijk een slecht plan. Die poorten kun je openen zonder root..
je draait je SSHD op je eigen server? en dan? ik zou dan de SSHD vooral niet als root draaien :-) meeteen weer een beveiligings lek gedicht ?
Security by obscurity is een slecht plan.quote:
[..]
Yeah,so?
je draait je SSHD op je eigen server? en dan? ik zou dan de SSHD vooral niet als root draaien :-) meeteen weer een beveiligings lek gedicht ?
Zie:
http://www.adayinthelifeo(...)than-22-is-bad-idea/
జ్ఞా
Als je aan portforwarding hebt gedaan in je router, bv 22 int naar 1000 ext heb je dat probleem toch niet?
Klopt, dat lijkt eigenlijk nog de beste mix als ik de stukken een beetje lees. Je beschermt je nog altijd tegen het gros van de simpele routinescans EN je hebt je SSH daemon met de juiste rechten e.d. draaien.quote:
Als je aan portforwarding hebt gedaan in je router, bv 22 int naar 1000 ext heb je dat probleem toch niet?
Vicariously I live while the whole world dies
Je realiseert je hopelijk wel dat deze post ongeveer de grootse combinatie van drogredenen allestijden is?quote:Op zondag 1 december 2013 21:47 schreef µ het volgende:
[..]
Security by obscurity is een slecht plan.
Zie:
http://www.adayinthelifeo(...)than-22-is-bad-idea/
Here we go...
- Het verschil "root" en "niet root" ( laten we zeggen, Root en User )
Bijna goed, maar als het proces nooit gestart is als root, kan het dus ook niet zomaar ineens spontaan root worden, als dat wel mogelijk is, dan heb je echt VEEL grotere zorgen dan je SSH Server.
- Ja maar iedereen kan >1024 openen...
Jep. ,maar een beetje degelijk MITM aanval kan ook net zo makkelijk onder de 1024...
Stel, jij zit ergens op poort 22 met je SSH Server, je hebt een Router, en iemand vanaf het interwebz die daar naartoe connect.... die router is stiekem net zo brak als de blogpost die jij linkt, dan kun je het verkeerd op poort 22 net zo goed modificeren als poort 2048 of poort 5817
- Software verwacht SSH op poort 22
Als je software niks anders vreet, dan zou ik je serieus eens achter je oren krabben en jezelf de vraag stellen, moet ik niet eens wat beters gaan zoeken.
- Firewalls
Als jij vanaf publieke AccesPoints of bedrijfsnetwerken zomaar naar een machine SSH't op het internet zou ik je nog eens gaan inlezen over hoe het internet en TCP/IP werkt, Verder zou ik mensen die niet nadenken dit soort problemen het zelfde achterlijke advies willen geven als deze matige blogger. verbied ze een computer te gebruiken ( die opmerking is echt
)- Vervolgens komt meneer zelf met een "security by obscurity" aan...
Waarbij gebruikt hij {$IPTABLES} wat natuurlijk ook een vaag excuus is voor "ik weet eigenlijk niet hoe ik moet coden, maar ik ga tof doen met ongedefinieerde variabelen om slim over te komen"
Dus, nee... klakkeloos dit blogje geloven gaat niet helpen.
Edit: Kleine edit, ik val hier de user Micro niet aan, maar die blogger is wel echt een F-Tard....
Dus? Je kan sshd dan non-root draaien. Omder Solaris 10 en up kan je non-root users rechten geven om op poorten < 1024 te laten openen. Zo kan je dus procs laten draaien zonder root permissies, which is a good thing.quote:
[..]
Ssh op een hoge poort vind ik persoonlijk een slecht plan. Die poorten kun je openen zonder root..
In theory there is no difference between theory and practice. In practice there is.
Volgens mij draaien <1024-services eerst als root en droppen ze daarna hun privileges...quote:
[..]
Dus? Je kan sshd dan non-root draaien. Omder Solaris 10 en up kan je non-root users rechten geven om op poorten < 1024 te laten openen. Zo kan je dus procs laten draaien zonder root permissies, which is a good thing.
జ్ఞా
quote:Op maandag 2 december 2013 08:28 schreef µ het volgende:
[..]
Volgens mij draaien <1024-services eerst als root en droppen ze daarna hun privileges...
| 1 2 3 4 5 6 7 8 9 10 11 12 13 | ps -fp $(pgrep apache ) UID PID PPID C STIME TTY STAT TIME CMD root 14854 1 0 Aug28 ? Ss 3:39 /usr/sbin/apache2 -k start www-data 19194 14854 0 Dec01 ? S 0:00 /usr/sbin/apache2 -k start www-data 19198 14854 0 Dec01 ? Sl 0:00 /usr/sbin/apache2 -k start www-data 19294 14854 0 Dec01 ? Sl 0:00 /usr/sbin/apache2 -k start ps -fp $(pgrep sshd ) UID PID PPID C STIME TTY STAT TIME CMD root 6359 32440 0 Nov26 ? Ss 0:00 sshd: xxxx [priv] xxxx 6362 6359 0 Nov26 ? S 1:41 sshd: xxxx@notty root 7786 32440 0 Nov26 ? Ss 0:00 sshd: xxxx [priv] xxxx 7789 7786 0 Nov26 ? S 0:04 sshd: xxxxx@pts/42 |
Lang niet altijd dus
In theory there is no difference between theory and practice. In practice there is.
AH mooi, dan zit ik momenteel wel goedquote:
Voor de volgende:
- SSH op Random-poort ( liefst boven de 1024 )
- Fail2Ban Configgen
- PermitRootLogin = false in sshd config
- Sanity
- More Sanity
Aim at perfection in everything, though in most things it is unattainable. However, they who aim at it, and persevere, will come much nearer to it than those whose laziness and despondency make them give it up as unattainable.
Pak je sshd_config en doe hetvolgende:
En ga dan vanaf je ip.add.ress het volgende doen:
| 1 2 3 4 5 6 | Port 2222 PermitRootLogin no ## TEST ROOT LOGINS FROM SPECIFIC NETWORKS Match Address je.ip.add.ress PermitRootLogin yes |
| 1 2 | # Start je sshd sudo $(which sshd) -f sshd_config -d |
En ga dan vanaf je ip.add.ress het volgende doen:
| 1 2 3 4 5 6 | ssh root@je-vps.nl -p 2222 root@je-vps's password: Linux hosted-by 2.6.26-2-686-bigmem #1 SMP Thu Jan 27 01:21:02 UTC 2011 i686 The programs included with the Debian GNU/Linux system are free software; |
| 1 2 3 4 5 6 7 8 | debug1: connection from xxx matched 'Address xxx' at line 80 debug1: PAM: initializing for "root" debug1: PAM: setting PAM_RHOST to "xxxx" debug1: PAM: setting PAM_TTY to "ssh" Failed none for root from xxxx port 57537 ssh2 debug1: userauth-request for user root service ssh-connection method publickey [snip] Accepted password for root from xxxx port 57537 ssh2 |
In theory there is no difference between theory and practice. In practice there is.
