1. #1
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard

    Dieser Beitrag zeigt grundlegende Schutzmaßnahmen, um einen SSH-Zugang zu härten. Dies ist vor allem dann zu empfehlen, wenn man einen Raspberry Pi oder anderen Linux-Server darüber im Internet erreichbar machen möchte. In einem eigenen Teil ist zu sehen, wie man dies durch 2-Faktor Authentifizierung noch weiter verstärken kann.. Der 2-Faktor Teil ist fortgeschritten, dieser Teil dagegen eher grundlegend für Einsteiger. Zur Textversion im Portal.


  2. #2
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    1.341
    Thanked 31 Times in 29 Posts

    Standard

    Toller Überblick, kurz und doch mit viel Inhalt. Der Port kann auch in der config des Clients angegeben werden, spart etwas Tipparbeit. (Gehe hierbei vom openssh-client aus, bzw. ~/.ssh/config . Andere sollten das aber auch können.) Ob ein geänderter Port allerdings viel bringt... Video ansehen, da wird's angesprochen.

    Kommentar von Karsten Müller.

  3. #3
    Avatar von Manipulate
    Registriert seit
    04.12.2011
    Beiträge
    520
    Thanked 505 Times in 356 Posts

    Standard AW: SSH absichern: So schützt du deinen SSH-Zugang mit grundlegenden Maßnahmen (Härtung)

    Ich habe mir das ganze Video noch nicht angeschaut, hätte ich aber vor ca. einem Jahr gebrauchen können, da habe ich nämlich mit einem Kollegen einen Webserver aufgebaut und diesen über eine Domain erreichbar gemacht.
    Lustigerweise wurde seit Tag 1 anfangs mehrere tausend Anmeldeversuche pro Stunde verzeichnet, später ist das aber abgeflacht, aber es hat nie ganz aufgehört. Ich weiß ehrlich gesagt nicht einmal, wie das zustande kam, die Webseite war nur unter Freunden bekannt.

    Ich habe dann probiert, die IPs sperren zu lassen, bei 3 oder mehr Anmeldeversuche und den Login über root gesperrt, und das hat mMn. ausgereicht.

  4. #4
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    1.341
    Thanked 31 Times in 29 Posts

    Standard

    welches Betriebssystem nutzt du eigentlich?

    Kommentar von Felix Gänger.

  5. #5
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard

    Linux und derzeit parallel dazu Windows für spezifischere Programme, die noch nicht unter Linux laufen bzw. für die ich noch keinen gleichwertigen Ersatz habe.

    @Manipulate
    IPv4 besitzt nur gut 4 Milliarden mögliche Adressen. Die kannst du dir mit ein paar Zeilen Code alle generieren lassen und dann bei jeder IP prüfen, ob auf einem bestimmten Port ein Dienst läuft. Das gehört schon lange zum Grundrauschen des Internets und ist keine wirkliche Gefahr, wenn man ausreichend zufällige/komplexe Kennwörter oder am besten SSH-Schlüssel nutzt. Diese Angriffe sind Vollautomatisiert und probieren die häufigsten Passwörter durch, teils noch Wörterbuchangriffe. Deine Maßnahmen werden im Beitrag auch erwähnt, macht Sinn und kann man z.B. mit Fail2ban umsetzen. Wobei ich zumindest den Schutz gegen Brute-Force eher als nächsten Schritt sehen würde. Hier geht es primär um die Härtung von SSH selbst, was primär darauf hinausläuft, alles nicht benötigte zu deaktivieren.

  6. #6
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    1.341
    Thanked 31 Times in 29 Posts

    Standard

    Es bringt sehr viel den SSH Port auf dem Server zu ändern....ich habe noch fail2ban laufen und seit ich den Port auf einen willkürlichen Port gesetzt habe kommt fast nichts mehr.. dazu habe ich den root Login disabled und man hat Ruhe.*Bzw. im Client bringt es gar nichts da Du dann nicht mehr auf den Server kommst wenn Du einen anderen Port im Client nutzt der auf dem Server gar nicht als SSH vorgesehen ist.. aber ich denke du hast dich nur verschrieben


    Kommentar von Steve.

  7. #7
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard

    Solche Angriffe sind nicht zielgerichtet und laufen mit Wortlisten/häufigen Passwörtern gegen Scans des öffentlichen IPv4-Netzbereiches. Das gehört zum Grundrauschen des Internets. Hat so was Erfolg, dann fehlen wirkungsvolle Schutzmaßnahmen (u.a. etwa Limits pro IP, wie im Beitrag erwähnt). Diese wiederum bieten auch dann Schutz, wenn der Angreifer sich minimal mehr Aufwand macht und z.B. einen Portscan durchführt. Da hängt die Wirkung nämlich nicht davon ab, ob jemand den Port kennt oder nicht. Unendlich viele Ports gibt es ja nun auch nicht, dass man damit eine Entropie erreichen würde wie bei einem längeren numerischen Passwort.

    Solche "Security through obscurity" Maßnahmen führen meiner Erfahrung nach in der Praxis gerne zu einem falschen Sicherheitsgefühl. Klar kann man angepasste Ports auf den Clients speichern, aber das ist ja nicht der Punkt. Sondern: Man macht sich Arbeit, um sein System zu verstecken. Da sichere ich es doch lieber ab, statt den Vorhang noch etwas zu tarnen und zu hoffen, dass schon keiner dahinter schauen wird. 2FA beispielsweise bietet dagegen sicherheitstechnisch einen deutlicheren Mehrwert, womit sich auch der etwas höhere Aufwand lohnt. Ich kann offen überall hin schreiben, SSH-Schlüssel, 2FA & co zu verwenden. Macht es nicht unsicherer.

    Ports zu ändern allerdings auch nicht. Das muss man fairer weise auch dazu sagen, nachdem es durchaus "Sicherheitsstrategien" und insbesondere Tools gibt, bei denen kontrovers diskutabel ist, ob das wirklich mehr Sicherheit oder eher mehr potenzielle Angriffsfläche schafft. Würde ich dennoch nicht als Maßstab sehen.

  8. #8
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    1.341
    Thanked 31 Times in 29 Posts

    Standard

    U-Labs | Raspberry Pi, IT & Technik ich habe zum Beispiel den root Login verboten, einen komplett anderen Port als SSH definiert (bekommt man natürlich raus - das weiß ich) und nutze einen "normalen" Benutzer mit einem Recht langen und komplexen Passwort.. auf einige Server von mir habe ich mich auch per Key eingeloggt aber ich bin ehrlich gesagt schlicht zu faul diese Keys auch auf meinem Notebook zu importieren - wenn ich dann mal von einem anderen Rechner als meinen eigenen auf den Server muss habe ich logischerweise keine Möglichkeit mehr... 2FA kann man auch schon umgehen wenn man es darauf anlegt - und wenn ich ehrlich bin ist das auf Dauer echt nervig.. ich arbeite als IT Systemadministrator und muss mich am Tag diverse Male mit 2FA einloggen was echt nervig ist. Man könnte natürlich gerade im Serverumfeld nur bestimmte IPs zulassen um per SSH auf die Maschine zu kommen (so ist es zum Beispiel hier auf der Arbeit), aber dann hat man wieder ein Problem wenn man aus welchen Gründen auch immer nicht seine normale IP nutzen kann. Trotzdem sollte man Server noch mit Fail2ban etc. absichern... Kann man eigentlich auch Portscans auf Servern verhindern? Ich habe einige Zeit für die Behörden IT gearbeitet und dort hatten wir diverse Netze die zum Beispiel nicht einmal auf einen Ping geantwortet haben - das wurde schlicht auf den Routern bzw. Switche so eingestellt... Solche Dinge machen zum Beispiel bei der Staatsanwaltschaft definitiv Sinn - und mir ist noch kein Fall aus der letzten Zeit bekannt wo es hier bei den Behörden einen erfolgreichen Angriff gab (also nicht wie in Brandenburg oder wo das vor einiger Zeit war).

    Kommentar von Steve.

  9. #9
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard

    Root sich nicht einloggen zu lassen und lange, komplexe, am besten zufällig generierte Passwörter sind ja schon mal ein ganz vernünftiger Anfang.

    "2FA kann man auch schon umgehen wenn man es darauf anlegt" - Alles kann umgangen werden, wenn man nur genug Ressourcen investiert. Im Extremfall bis hin zu Bestechung oder Folterung von demjenigen, der Zugang hat. Da bringen dann die besten Schutzmaßnahmen nichts mehr. So ein Totschlagargument ist aber doch keine Basis für eine seriöse Risikoanalyse oder gar Sicherheitsstrategie. Sonst würde man zum Ergebnis kommen, dass man sein Geschäft am besten sofort schließt und das Haus nicht mehr verlässt, es könnte ja überall was passieren...Faulheit lasse ich unkommentiert, das ist ein Layer 8 Problem und kein technisches.

    Portscans lassen sich ausbremsen, in dem man eine Firewall die Pakete mit den Zielports aufzeichnen lässt und entsprechende Regeln anlegt. Lässt sich isoliert betrachtet darüber streiten, im Gesamtbild sehe ich auch da Symtombekämpfung. Pings blockieren versteckt das System halt auch nur, ohne es abzusichern. Und gerade das deckt sich das mit dem Zustand, in dem viel zu viele staatliche Infrastrukturen sind. Die sind von keinen Vorfällen Meilenweit entfernt. Wenn da in deinen Augen alles super ist, hast du dich mit der Thematik offensichtlich überhaupt nicht befasst.

    Alleine in den letzten Wochen hat sich z.B. die Stadt Schriesheim (BW) mit Ramsoftware nicht nur komplett lahm gelegt. Jüngst sind interne Daten vom Rathaus im Internet aufgetaucht, die der Angreifer zuvor raus getragen hatte, also ein GAU. Geisenheim eben so komplett lahm gelegt wie Witten. Letztes oder vorletztes Jahr traf es mit Potsdam sogar eine Großstadt, Frankfurt hatte es teilweise ebenfalls erwischt. In Sachsen-Anhalt gab es Katastrophenalarm. Und das ist bei weitem keine vollständige Liste, sondern nur, was mir gerade einfällt. Da gibt es noch weit mehr, man kommt kaum hinterher. Die Fälle auf Behörden*nehmen schon seit Jahren massiv zu.

    Das Kammergericht in Berlin hat es ja sogar geschafft, innerhalb von wenigen Jahren zweimal angegriffen zu werden. Und zwar nicht nur so ein bisschen auf den kleinen Azubi-Testserver im isolierten VLAN, sondern jedes Mal ein Totalschaden. Die haben alle Stecker gezogen und Monatelang mit Papier/Fax gearbeitet. Bald kann man Strichlisten führen. Ganz so lustig wie das klingt ist es aber leider nicht, wenn man bedenkt, dass die normale Bevölkerung das alles doppelt und dreifach bezahlt. Im besten Falle "nur" finanziell, mindestens teils aber eben noch mehr. Manchmal ist auch Infrastruktur wie z.B. die Stadtwerke betroffen. Da kommen wir dann schnell in andere Problemszenarien als "Ich kann gerade meinen Personalausweis nicht verlängern".

  10. #10
    Avatar von Manipulate
    Registriert seit
    04.12.2011
    Beiträge
    520
    Thanked 505 Times in 356 Posts

    Standard AW: SSH absichern: So schützt du deinen SSH-Zugang mit grundlegenden Maßnahmen (Härtung)

    @DMW007

    An sich weiß ich, dass es "nur" rund 2^32 (- ein paar wegen privaten) IP-Adressen gibt, jedoch war mir nicht bekannt, dass Leute diese gerne programmatisch ausprobieren, ob diese SSH anbieten und wenn ja, versuchen mittels Bruteforce sich Zugang zu verschaffen.
    Ich habe vergessen gehabt zu erwähnen, dass ich den Login über root deaktiviert habe und auch ein starkes Passwort verwendet habe. Loginversuche kamen auch mit den Usernames "minecraft", "admin" oder auch "teamspeak", welche auch ins nichts verliefen.

    Und ja, ich habe Fail2Ban benutzt gehabt, war mir auch nicht mehr sicher wie genau das hieß.

Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.