Passwords, challenge-response, en root login uitzetten in sshd_config, en netjes je OS updates doen, dan zal er niet zo veel misgaan.quote:Op zaterdag 30 november 2013 23:28 schreef relativity het volgende:
Iemand wat ideeen/tips om ssh meer te beveiligen?
Wil hem vanaf random ip's benaderen.
Heb nu fail2ban en poort 1337, misschien keys?
Inderdaad root blokkeren.quote:Op zondag 1 december 2013 10:37 schreef KomtTijd... het volgende:
Fail2ban en een stevig wachtwoord is wmbt voldoende. Alleen keys accepteren zou nog beter zijn denk ik ja. En dingen als je root account blokkeren en geen sudo toestaan.
Security through obscurity noemen ze dat. Helpt maar zelden eigenlijk. Als iemand gewoon een portscan doet zien ze die poort ook gewoon openstaan en dan proberen ze er echt wel naartoe te ssh'en. De enige reden om een service op een andere poort te draaien is als er twee services conflicteren (bijv. 2 verschillende webservers op 1 server etc.)quote:Op zondag 1 december 2013 10:46 schreef t4rt4rus het volgende:
[..]
Ik heb nu ook maar eens de poort veranderd, lijkt me ook wat veiliger.
Ja ok maar je filtert er al wel allemaal chinezen uit die alle ip's afgaan op poort 22.quote:Op zondag 1 december 2013 10:56 schreef nyny83 het volgende:
[..]
Security through obscurity noemen ze dat. Helpt maar zelden eigenlijk. Als iemand gewoon een portscan doet zien ze die poort ook gewoon openstaan en dan proberen ze er echt wel naartoe te ssh'en. De enige reden om een service op een andere poort te draaien is als er twee services conflicteren (bijv. 2 verschillende webservers op 1 server etc.)
Wat vooral van belang is, is dat je inderdaad je SSH zelf goed beveiligt door netjes de (security) updates te doen, sterke passwords gebruikt en eventueel met een certificaat werken als je echt veilig wilt zijn.
Poort veranderen helpt prima tegen routinematige scans, die het gros van de aanvallen vertegenwoordigen.quote:Op zondag 1 december 2013 10:56 schreef nyny83 het volgende:
[..]
Security through obscurity noemen ze dat. Helpt maar zelden eigenlijk. Als iemand gewoon een portscan doet zien ze die poort ook gewoon openstaan en dan proberen ze er echt wel naartoe te ssh'en. De enige reden om een service op een andere poort te draaien is als er twee services conflicteren (bijv. 2 verschillende webservers op 1 server etc.)
Heb al een redelijk sterk wachtwoord. Security updates gaan automatisch. Fail2ban staat op permanente ban naar 3 retries.quote:Op zondag 1 december 2013 10:41 schreef eleusis het volgende:
[..]
Passwords, challenge-response, en root login uitzetten in sshd_config, en netjes je OS updates doen, dan zal er niet zo veel misgaan.
Haha ook al. Ik heb eigenlijk zin om hun ook eens te scannen met nmap en metasploit erover heen te latenquote:Op zondag 1 december 2013 10:46 schreef t4rt4rus het volgende:
[..]
Inderdaad root blokkeren.
Bij mij in de logs zijn het allemaal chinezen die root proberen.
Ik heb nu ook maar eens de poort veranderd, lijkt me ook wat veiliger.
Sinds ik hem op poort 1337 draai heb ik geen scans meer gehad.quote:Op zondag 1 december 2013 10:56 schreef nyny83 het volgende:
[..]
Security through obscurity noemen ze dat. Helpt maar zelden eigenlijk. Als iemand gewoon een portscan doet zien ze die poort ook gewoon openstaan en dan proberen ze er echt wel naartoe te ssh'en. De enige reden om een service op een andere poort te draaien is als er twee services conflicteren (bijv. 2 verschillende webservers op 1 server etc.)
Wat vooral van belang is, is dat je inderdaad je SSH zelf goed beveiligt door netjes de (security) updates te doen, sterke passwords gebruikt en eventueel met een certificaat werken als je echt veilig wilt zijn.
Nee inderdaad, maar het is wel 'meer verborgen' voor standaard poortscans.quote:Op zondag 1 december 2013 13:49 schreef nyny83 het volgende:
Mooi stukje wel. SSH zelf wordt er niet veiliger van, maar je hebt gelijk: het risico wordt minder groot omdat het aantal aanvallers dat je SSH daemon gaat vinden kleiner wordt. Er zitten overigens wel wat nadelen aan qua gebruiksgemak en wellicht het openstellen van firewall regels vanuit andere netwerken.
1 2 3 4 5 | Dec 1 15:38:42 oxytocine-pc sshd[27253]: Server listening on 0.0.0.0 port 1337. Dec 1 15:38:42 oxytocine-pc sshd[27253]: Server listening on :: port 1337. Dec 1 15:39:01 oxytocine-pc sshd[27255]: reverse mapping checking getaddrinfo for static.kpn.net [92.69.x.x] failed - POSSIBLE BREAK-IN ATTEMPT! Dec 1 15:39:01 oxytocine-pc sshd[27255]: Accepted password for mainstream from 92.69.x.x port 6612 ssh2 Dec 1 15:39:01 oxytocine-pc sshd[27255]: pam_unix(sshd:session): session opened for user mainstream by (uid=0) |
Je kan root-logins toestaan vanaf een bepaald netwerk iirc. Maar ik ben voor het uitzetten van root-access. Regel dat via sudo oid.quote:Op zondag 1 december 2013 15:46 schreef relativity het volgende:
[..]
Heb al een redelijk sterk wachtwoord. Security updates gaan automatisch. Fail2ban staat op permanente ban naar 3 retries.
Root staat wel nog aan, dat vond ik altijd wel handigmaar misschien niet zo slim nee.
Ssh op een hoge poort vind ik persoonlijk een slecht plan. Die poorten kun je openen zonder root..quote:Op zondag 1 december 2013 19:47 schreef HalveZware het volgende:
Voor de volgende:
- SSH op Random-poort ( liefst boven de 1024 )
- Fail2Ban Configgen
- PermitRootLogin = false in sshd config
- Sanity
- More Sanity
Yeah,so?quote:Op zondag 1 december 2013 20:17 schreef µ het volgende:
[..]
Ssh op een hoge poort vind ik persoonlijk een slecht plan. Die poorten kun je openen zonder root..
Security by obscurity is een slecht plan.quote:Op zondag 1 december 2013 20:23 schreef HalveZware het volgende:
[..]
Yeah,so?
je draait je SSHD op je eigen server? en dan? ik zou dan de SSHD vooral niet als root draaien :-) meeteen weer een beveiligings lek gedicht ?
Klopt, dat lijkt eigenlijk nog de beste mix als ik de stukken een beetje lees. Je beschermt je nog altijd tegen het gros van de simpele routinescans EN je hebt je SSH daemon met de juiste rechten e.d. draaien.quote:Op zondag 1 december 2013 22:08 schreef AchJa het volgende:
Als je aan portforwarding hebt gedaan in je router, bv 22 int naar 1000 ext heb je dat probleem toch niet?
Je realiseert je hopelijk wel dat deze post ongeveer de grootse combinatie van drogredenen allestijden is?quote:Op zondag 1 december 2013 21:47 schreef µ het volgende:
[..]
Security by obscurity is een slecht plan.
Zie:
http://www.adayinthelifeo(...)than-22-is-bad-idea/
Dus? Je kan sshd dan non-root draaien. Omder Solaris 10 en up kan je non-root users rechten geven om op poorten < 1024 te laten openen. Zo kan je dus procs laten draaien zonder root permissies, which is a good thing.quote:Op zondag 1 december 2013 20:17 schreef µ het volgende:
[..]
Ssh op een hoge poort vind ik persoonlijk een slecht plan. Die poorten kun je openen zonder root..
Volgens mij draaien <1024-services eerst als root en droppen ze daarna hun privileges...quote:Op maandag 2 december 2013 07:12 schreef slacker_nl het volgende:
[..]
Dus? Je kan sshd dan non-root draaien. Omder Solaris 10 en up kan je non-root users rechten geven om op poorten < 1024 te laten openen. Zo kan je dus procs laten draaien zonder root permissies, which is a good thing.
quote:Op maandag 2 december 2013 08:28 schreef µ het volgende:
[..]
Volgens mij draaien <1024-services eerst als root en droppen ze daarna hun privileges...
1 2 3 4 5 6 7 8 9 10 11 12 13 | ps -fp $(pgrep apache ) UID PID PPID C STIME TTY STAT TIME CMD root 14854 1 0 Aug28 ? Ss 3:39 /usr/sbin/apache2 -k start www-data 19194 14854 0 Dec01 ? S 0:00 /usr/sbin/apache2 -k start www-data 19198 14854 0 Dec01 ? Sl 0:00 /usr/sbin/apache2 -k start www-data 19294 14854 0 Dec01 ? Sl 0:00 /usr/sbin/apache2 -k start ps -fp $(pgrep sshd ) UID PID PPID C STIME TTY STAT TIME CMD root 6359 32440 0 Nov26 ? Ss 0:00 sshd: xxxx [priv] xxxx 6362 6359 0 Nov26 ? S 1:41 sshd: xxxx@notty root 7786 32440 0 Nov26 ? Ss 0:00 sshd: xxxx [priv] xxxx 7789 7786 0 Nov26 ? S 0:04 sshd: xxxxx@pts/42 |
AH mooi, dan zit ik momenteel wel goedquote:Op zondag 1 december 2013 19:47 schreef HalveZware het volgende:
Voor de volgende:
- SSH op Random-poort ( liefst boven de 1024 )
- Fail2Ban Configgen
- PermitRootLogin = false in sshd config
- Sanity
- More Sanity
1 2 3 4 5 6 | Port 2222 PermitRootLogin no ## TEST ROOT LOGINS FROM SPECIFIC NETWORKS Match Address je.ip.add.ress PermitRootLogin yes |
1 2 | # Start je sshd sudo $(which sshd) -f sshd_config -d |
1 2 3 4 5 6 | ssh root@je-vps.nl -p 2222 root@je-vps's password: Linux hosted-by 2.6.26-2-686-bigmem #1 SMP Thu Jan 27 01:21:02 UTC 2011 i686 The programs included with the Debian GNU/Linux system are free software; |
1 2 3 4 5 6 7 8 | debug1: connection from xxx matched 'Address xxx' at line 80 debug1: PAM: initializing for "root" debug1: PAM: setting PAM_RHOST to "xxxx" debug1: PAM: setting PAM_TTY to "ssh" Failed none for root from xxxx port 57537 ssh2 debug1: userauth-request for user root service ssh-connection method publickey [snip] Accepted password for root from xxxx port 57537 ssh2 |
Goede uitleg! :-) erg tof!quote:Op maandag 2 december 2013 10:29 schreef slacker_nl het volgende:
Pak je sshd_config en doe hetvolgende:
[ code verwijderd ]
[ code verwijderd ]
En ga dan vanaf je ip.add.ress het volgende doen:
[ code verwijderd ]
[ code verwijderd ]
Bedanktquote:Op maandag 2 december 2013 10:29 schreef slacker_nl het volgende:
Pak je sshd_config en doe hetvolgende:
[ code verwijderd ]
[ code verwijderd ]
En ga dan vanaf je ip.add.ress het volgende doen:
[ code verwijderd ]
[ code verwijderd ]
Ik kan wel een reden bedenken overigens, iig voor mezelfquote:Op maandag 2 december 2013 13:23 schreef Boze_Appel het volgende:
Er is geen enkele goede reden bedenkbaar waarom je direct als root in zou moeten/willen loggen.
In ieder geval niet in een productie-omgeving.quote:Op maandag 2 december 2013 15:28 schreef slacker_nl het volgende:
[..]
Ik kan wel een reden bedenken overigens, iig voor mezelf
Daarvoor heb je puppet, console-logins of andere meuk.quote:Op maandag 2 december 2013 15:32 schreef Boze_Appel het volgende:
In ieder geval niet in een productie-omgeving.
Om een systeem kapot te maken zodat iemand anders leert dat je geen root access moet toestaanquote:Op maandag 2 december 2013 13:23 schreef Boze_Appel het volgende:
Er is geen enkele goede reden bedenkbaar waarom je direct als root in zou moeten/willen loggen.
quote:Op maandag 2 december 2013 15:37 schreef wdn het volgende:
[..]
Om een systeem kapot te maken zodat iemand anders leert dat je geen root access moet toestaan
Wil je nog meer lachen?quote:
quote:Op maandag 2 december 2013 16:17 schreef wdn het volgende:
[..]
Wil je nog meer lachen?
Anekdote uit mijn 22 jaar aan onderhoud van Unix en Linux systemen:
"Wij kunnen ineens niet meer inloggen!! HELP! BRAND! GODVER! DIT IS KLOTE!"
* wdn logt in op systeem en doet "hmmmmm dat is vreemd ik krijg een $-teken".
Oorzaak? Meneer de Windows systeembeheerder had net een cursus Linux gehad en ging even samba shares open zetten voor het bedrijf. En wat is er handiger dan de home directories als share aanmaken want dan hebben alle gebruikers meteen al een share op de Linux machine. Oh, en meneer vond al die files beginnende met een . maar niks dus had ze maar even ge-shift-delete.
Geweldig dat soort verhaaltjes.quote:Op maandag 2 december 2013 16:17 schreef wdn het volgende:
[..]
Wil je nog meer lachen?
Anekdote uit mijn 22 jaar aan onderhoud van Unix en Linux systemen:
"Wij kunnen ineens niet meer inloggen!! HELP! BRAND! GODVER! DIT IS KLOTE!"
* wdn logt in op systeem en doet "hmmmmm dat is vreemd ik krijg een $-teken".
Oorzaak? Meneer de Windows systeembeheerder had net een cursus Linux gehad en ging even samba shares open zetten voor het bedrijf. En wat is er handiger dan de home directories als share aanmaken want dan hebben alle gebruikers meteen al een share op de Linux machine. Oh, en meneer vond al die files beginnende met een . maar niks dus had ze maar even ge-shift-delete.
SPOILER: Oorzaak en oplossingOm spoilers te kunnen lezen moet je zijn ingelogd. Je moet je daarvoor eerst gratis Registreren. Ook kun je spoilers niet lezen als je een ban hebt.Beatus vir qui suffert tentationem.
PSN Rinzewind en Cadsuana Melaidhrin
Stellar Blade *O* Sea of Stars *O* Trails Daybreak *O*
Dat is een faal van de UPS dan, want de stroom valt natuurlijk niet altijd netjes tijdens kantooruren uit.quote:Op maandag 2 december 2013 17:01 schreef wdn het volgende:
" /wdn kun je ons helpen! De server is uitgevallen."
"Natuurlijk vertel eens wat er is gebeurd?"
"Nou de stroom viel uit dus we konden niet werken"
"Maar maar de server heeft toch een power supply????"
"Nou de server viel ook uit een half uur later dan de stroom uitviel".
In plaats van de server netjes uit te zetten...
En omdat de power supply zo irritant piepte ...
hadden ze de deur naar het server hok maar dicht gedaan.
Natuurlijk belden ze pas toen de stroom er weer was en ze niet konden inloggen.
Lol, dat is best wel retardedquote:Op maandag 2 december 2013 16:17 schreef wdn het volgende:
Wil je nog meer lachen?
Anekdote uit mijn 22 jaar aan onderhoud van Unix en Linux systemen:
"Wij kunnen ineens niet meer inloggen!! HELP! BRAND! GODVER! DIT IS KLOTE!"
* wdn logt in op systeem en doet "hmmmmm dat is vreemd ik krijg een $-teken".
Oorzaak? Meneer de Windows systeembeheerder had net een cursus Linux gehad en ging even samba shares open zetten voor het bedrijf. En wat is er handiger dan de home directories als share aanmaken want dan hebben alle gebruikers meteen al een share op de Linux machine. Oh, en meneer vond al die files beginnende met een . maar niks dus had ze maar even ge-shift-delete.
Waarom is dat een faal van de UPS dan? Die heeft ook gewoon een batterij en die gaat ook gewoon leeg. Die UPS is er puur voor korte stroomstoringen en zodat de server netjes down gebracht kan worden bij een langdurige stroomstoring. Als je bij een langdurige stroomstoring wilt kunnen blijven werken moet je maar een generator aanschaffen.quote:Op maandag 2 december 2013 17:29 schreef KomtTijd... het volgende:
[..]
Dat is een faal van de UPS dan, want de stroom valt natuurlijk niet altijd netjes tijdens kantooruren uit.
Ook. Maar een UPS moet toch ook echt wel eens vervangen wordenquote:Op maandag 2 december 2013 17:29 schreef KomtTijd... het volgende:
[..]
Dat is een faal van de UPS dan, want de stroom valt natuurlijk niet altijd netjes tijdens kantooruren uit.
Omdat de UPS (of eigenlijk de hele setup) er niet in geslaagd is succesvol een safe shutdown te doen voordat de UPS het opgaf. Dan is ofwel je UPS te krap gedimensioneerd maar gezien hij nog een half uur gedraaid heeft, werkt het hele shutdown proces blijkbaar niet.quote:Op maandag 2 december 2013 19:01 schreef nyny83 het volgende:
[..]
Waarom is dat een faal van de UPS dan? Die heeft ook gewoon een batterij en die gaat ook gewoon leeg. Die UPS is er puur voor korte stroomstoringen en zodat de server netjes down gebracht kan worden bij een langdurige stroomstoring. Als je bij een langdurige stroomstoring wilt kunnen blijven werken moet je maar een generator aanschaffen.
De accu was blijkbaar nog prima.quote:Op maandag 2 december 2013 19:47 schreef wdn het volgende:
[..]
Ook. Maar een UPS moet toch ook echt wel eens vervangen worden
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |