Hallo ich suche eine Möglichkeit einen Rechner abzusichern auf den ich per ssh zugreife. Ich habe auf dem entfernten Router einen hohen Port geöffnet, sonst sind alle Ports zu und lasse den sshd auf den hohen Port lauschen. Eine Firewall läuft auf dem entfernten Rechner nicht. Die "Sicherheit" besteht nun ja nur aus user und passwort. Wir kann ich das besser machen? Kann ich z.B. über die Firewall relementieren wer überhaut zugreifen darf? Das Problem ist das ich selber immer eine andere IP Adresse zugewiesen bekomme. Ich hoffe die Frage ist nicht OT, und auch von Interesse für andere. Viele Grüße Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 15.03.2010 08:57, schrieb Michael:
Hallo
ich suche eine Möglichkeit einen Rechner abzusichern auf den ich per ssh zugreife. Ich habe auf dem entfernten Router einen hohen Port geöffnet, sonst sind alle Ports zu und lasse den sshd auf den hohen Port lauschen. Eine Firewall läuft auf dem entfernten Rechner nicht. Die "Sicherheit" besteht nun ja nur aus user und passwort.
Wir kann ich das besser machen? Kann ich z.B. über die Firewall relementieren wer überhaut zugreifen darf? Das Problem ist das ich selber immer eine andere IP Adresse zugewiesen bekomme.
Ich hoffe die Frage ist nicht OT, und auch von Interesse für andere.
Viele Grüße Michael
- root als ssh-user deaktivieren - mit Keys arbeiten - ggf. noch Portknocking Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Montag, 15. März 2010 schrieb prengel: snip
- root als ssh-user deaktivieren - mit Keys arbeiten - ggf. noch Portknocking Ist das alles eigentlich auch im Intranet notwendig, bei Anwendern, die ich kenne?
-- Mit freundlichen Grüßen Matthias Müller (Benutzer #439779 im Linux-Counter http://counter.li.org) PS: Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!
Moin Matthias, Matthias Müller schrieb:
Hallo,
Am Montag, 15. März 2010 schrieb prengel: snip
- root als ssh-user deaktivieren Das ist im Intranet vielleicht nicht unbedingt nötig - mit Keys arbeiten Und das evtl. auch nicht. Bei mir in der Firma sind auch PasswortLogins zugelassen Ist das alles eigentlich auch im Intranet notwendig, bei Anwendern, die ich kenne?
Jedenfalls solltest Du unbedingt Telnet verbieten, weil die PW's unverschlüsselt übers Netz gehen, alles andere hängt von Deinem persönlichen Sicherheitsbedürfnis ab. Aber SSH muß es schon sein, um wenigstens einen Grundschutz zu haben. -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Matthias Müller
Hallo,
Am Montag, 15. März 2010 schrieb prengel: snip
- root als ssh-user deaktivieren - mit Keys arbeiten - ggf. noch Portknocking Ist das alles eigentlich auch im Intranet notwendig, bei Anwendern, die ich kenne?
- root als ssh-user sollte immer deaktiviert sein, lieber ein ssh als User und dann ein su auf dem Host. - mit Keys arbeiten, ist nicht nur ein Schutz vor Passwort-Spoofing, sondern erleichert auch die tägliche Arbeit, da keine Passwortabfrage mehr erfolgt. - Portknocking ist im lokalen Netzwerk nicht unbedingt erforderlich, sofern der Zugriff aus der bösen, weiten Welt unterbunden wird. Für das Arbeiten mit Keys siehe ssh(1), ssh-keygen(1) und ~/.ssh/authorized_keys -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Moin Dieter, Dieter Kluenter schrieb:
Matthias Müller
writes: .. - mit Keys arbeiten, ist nicht nur ein Schutz vor Passwort-Spoofing, sondern erleichert auch die tägliche Arbeit, da keine Passwortabfrage mehr erfolgt. Das ist nur z.T. korrekt, oder ich hab was übersehen ;-) Ohne PW funktioniert das nur, wenn Du dem Key selbst kein PW vergeben hast. Dann kannst Du aber auch gleich Login mit PW erlauben... Oder hab ich da jetzt was übersehen ?
-- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 16.03.2010 08:20, Axel Birndt wrote:
Moin Dieter,
Dieter Kluenter schrieb:
Matthias Müller
writes: .. - mit Keys arbeiten, ist nicht nur ein Schutz vor Passwort-Spoofing, sondern erleichert auch die tägliche Arbeit, da keine Passwortabfrage mehr erfolgt. Das ist nur z.T. korrekt, oder ich hab was übersehen ;-) Ohne PW funktioniert das nur, wenn Du dem Key selbst kein PW vergeben hast. Dann kannst Du aber auch gleich Login mit PW erlauben... Oder hab ich da jetzt was übersehen ?
Ja! (^-^) Der Sinn des Keys ist nicht das Arbeiten ohne Passwort, sondern, dass der Besitz des Zertifikates notwendig ist, um sich einzuloggen. Das Passwort kann man durch Über-die-Schulter-Schauen eventuell erspähen, die Datei benötigst du als Kopie, die erhälst du nicht mit dem Über-die-Schulter-schauen. Natürlich verwende ich auch Keys ohne Passwort zum automatischen Administrieren von mehreren Büchsen. (^-°) -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@)drobic (.) de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic schrieb:
On 16.03.2010 08:20, Axel Birndt wrote:
hast. Dann kannst Du aber auch gleich Login mit PW erlauben... Oder hab ich da jetzt was übersehen ?
Ja! (^-^) Der Sinn des Keys ist nicht das Arbeiten ohne Passwort, sondern, dass der Besitz des Zertifikates notwendig ist, um sich einzuloggen. Das Passwort kann man durch Über-die-Schulter-Schauen eventuell erspähen, die Datei benötigst du als Kopie, die erhälst du nicht mit dem Über-die-Schulter-schauen.
Natürlich verwende ich auch Keys ohne Passwort zum automatischen Administrieren von mehreren Büchsen. (^-°)
Moin Sandy, dann habe ich die Mail von Dieter mißverstanden. Logisch habe ich auch Keys _mit_ Passwort. Auf Grund der Mail hatte ich in Gedanken impliziert, dass der Key ohne PW erstellt worden wäre. Es gibt ja genügend Möglichkeiten (ssh-agent) um sich für die Laufzeit der eigenen Usersession von der PW-Abfrage des Keys zu befreien. Aber danke für den Hinweis. -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, 16. März 2010 08:20:24 schrieb Axel Birndt:
Moin Dieter,
Dieter Kluenter schrieb:
Matthias Müller
writes: ..
- mit Keys arbeiten, ist nicht nur ein Schutz vor Passwort-Spoofing, sondern erleichert auch die tägliche Arbeit, da keine Passwortabfrage mehr erfolgt.
Das ist nur z.T. korrekt, oder ich hab was übersehen ;-) Ohne PW funktioniert das nur, wenn Du dem Key selbst kein PW vergeben hast. Dann kannst Du aber auch gleich Login mit PW erlauben... Oder hab ich da jetzt was übersehen ?
Ja. Ich habe meinen Key ebenfalls mit Passwort abgesichert. Dieses Passwort bezieht sich allerdings nur auf den Aufruf des Keys auf _meinem_ System (Client). Wenn ich das richtige Passwort weiß, darf ich den Key benutzen und mich auf dem Server ohne Passwort anmelden. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Axel Birndt
Moin Dieter,
Dieter Kluenter schrieb:
Matthias Müller
writes: .. - mit Keys arbeiten, ist nicht nur ein Schutz vor Passwort-Spoofing, sondern erleichert auch die tägliche Arbeit, da keine Passwortabfrage mehr erfolgt. Das ist nur z.T. korrekt, oder ich hab was übersehen ;-) Ohne PW funktioniert das nur, wenn Du dem Key selbst kein PW vergeben hast. Dann kannst Du aber auch gleich Login mit PW erlauben... Oder hab ich da jetzt was übersehen ?
Vermutlich, wenn du deinen public key auf dem entfernten Host in die ~/.ssh/authorized_keys kopierst, kannst du ohne Passwortabfrage einloggen, und vice versa natürlich auch. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
"Dieter Kluenter"
Axel Birndt
writes: Moin Dieter,
Dieter Kluenter schrieb:
Matthias Müller
writes: .. - mit Keys arbeiten, ist nicht nur ein Schutz vor Passwort-Spoofing, sondern erleichert auch die tägliche Arbeit, da keine Passwortabfrage mehr erfolgt. Das ist nur z.T. korrekt, oder ich hab was übersehen ;-) Ohne PW funktioniert das nur, wenn Du dem Key selbst kein PW vergeben hast. Dann kannst Du aber auch gleich Login mit PW erlauben... Oder hab ich da jetzt was übersehen ? Vermutlich, wenn du deinen public key auf dem entfernten Host in die ~/.ssh/authorized_keys kopierst, kannst du ohne Passwortabfrage einloggen, und vice versa natürlich auch.
Damit hier Klarheit herrscht, möchte ich das noch etwas weiter ausführen. Der public key allein nutzt nichts, daher kann dieser ohne Schaden im System distribuiert werden. Wichtig ist der *Schutz* des private keys, denn private key und public key handeln gemeinsam den Verschlüsselungsalgorithmus aus. Wenn dann noch die /etc/hosts.equiv auf allen Hosts richtig gepflegt wird, erreicht man ein gewisses Maß an Netzwerksicherheit. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Dieter
Am 16. März 2010 09:21 schrieb Dieter Kluenter
Wenn dann noch die /etc/hosts.equiv auf allen Hosts richtig gepflegt wird, erreicht man ein gewisses Maß an Netzwerksicherheit.
Das hier mit habe ich gestern gekämpft.... Each line of these files has the format: hostname [username] hostname may be given as a host name (typically, a fully qualified host name in a DNS environment), an address, or a + character indicating that all hosts are to be trusted. Wie bekomme ich den fully qualified host name der auf dem entfernten Rechner ankommt heraus? Klar den Hostnamen auf meinem lokalen System kenne ich aber wie stellt sich der _fully qualified_ host name auf dem entfernten Rechern dar? Nur mit meinem hostnamen hatte ich zumindest keinen Erfolg... Ich war ausgesperrt... Viele Grüße Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael wrote:
Am 16. März 2010 09:21 schrieb Dieter Kluenter
: Wenn dann noch die /etc/hosts.equiv auf allen Hosts richtig gepflegt wird, erreicht man ein gewisses Maß an Netzwerksicherheit.
Das hier mit habe ich gestern gekämpft....
Each line of these files has the format: hostname [username] hostname may be given as a host name (typically, a fully qualified host name in a DNS environment), an address, or a + character indicating that all hosts are to be trusted.
Wie bekomme ich den fully qualified host name der auf dem entfernten Rechner ankommt heraus? Klar den Hostnamen auf meinem lokalen System kenne ich aber wie stellt sich der _fully qualified_ host name auf dem entfernten Rechern dar? Nur mit meinem hostnamen hatte ich zumindest keinen Erfolg... Ich war ausgesperrt...
Idee: normalerweise loggt der sshd doch nach /v/l/m. Dort sollte zumindest die IP-stehen, von der du ankommst. Und das kannst du am remote-Rechner mit nslookup wieder auflösen. Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael
Hallo Dieter
Am 16. März 2010 09:21 schrieb Dieter Kluenter
: Wenn dann noch die /etc/hosts.equiv auf allen Hosts richtig gepflegt wird, erreicht man ein gewisses Maß an Netzwerksicherheit.
Das hier mit habe ich gestern gekämpft....
Each line of these files has the format: hostname [username] hostname may be given as a host name (typically, a fully qualified host name in a DNS environment), an address, or a + character indicating that all hosts are to be trusted.
Wie bekomme ich den fully qualified host name der auf dem entfernten Rechner ankommt heraus? Klar den Hostnamen auf meinem lokalen System kenne ich aber wie stellt sich der _fully qualified_ host name auf dem entfernten Rechern dar? Nur mit meinem hostnamen hatte ich zumindest keinen Erfolg... Ich war ausgesperrt...
Ich vermut mal, es handelt sich um eine dynamische Adresszuweisung und der Hostname wird durch den DHCP des Providers zugewiesen. Wenn dann noch das fremde Netzwerk durch einen Router mit NAT geschützt wird, wird es problematisch, spontan fällt mir dann als Lösung nur ein, durch NAT-Regeln des Routers dem fremden Host eine fixe Adresse zuzuweisen und diese in /etc/hosts.equiv einzutragen, oder in /etc/hosts.equiv die lokale Netzmaske als Adressraum einzutragen, also z.B. 192.168.16.0/24. Mit Sicherheit gibt es aber auch noch andere Lösungsansätze. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Dieter Kluenter schrieb:
Vermutlich, wenn du deinen public key auf dem entfernten Host in die ~/.ssh/authorized_keys kopierst, kannst du ohne Passwortabfrage einloggen, und vice versa natürlich auch.
Hallo Dieter, danke für die Info. Mir persönlich ist das klar. Ich hatte nur nachgefragt, damit auch anderen Usern hier, die mit dem Thema erst angefangen haben, sich dessen bewußt werden was die eine oder andere Variante bedeutet. Trotzdem bin ich natürlich immer für Tipps dankbar, wenn ich da etwas dazu lernen kann ;-) -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo
Am 16. März 2010 08:20 schrieb Axel Birndt
Matthias Müller
writes:
- mit Keys arbeiten, ist nicht nur ein Schutz vor Passwort-Spoofing, sondern erleichert auch die tägliche Arbeit, da keine Passwortabfrage mehr erfolgt.
Das ist nur z.T. korrekt, oder ich hab was übersehen ;-) Ohne PW funktioniert das nur, wenn Du dem Key selbst kein PW vergeben hast. Dann kannst Du aber auch gleich Login mit PW erlauben... Oder hab ich da jetzt was übersehen ?
Wenn ich das richtig verstanden habe besteht die Sicherheit dann im Besitz des privaten Keys - nur der Besitzer des priv. Keys kanns sich anmelden wenn pwd login ausgeschaltet ist. Viele Grüße Michael -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo allen, Am Dienstag, 16. März 2010 schrieb Dieter Kluenter:
Matthias Müller
writes: Hallo,
Am Montag, 15. März 2010 schrieb prengel: snip
- root als ssh-user deaktivieren - mit Keys arbeiten - ggf. noch Portknocking
Ist das alles eigentlich auch im Intranet notwendig, bei Anwendern, die ich kenne?
- root als ssh-user sollte immer deaktiviert sein, lieber ein ssh als User und dann ein su auf dem Host. - mit Keys arbeiten, ist nicht nur ein Schutz vor Passwort-Spoofing, sondern erleichert auch die tägliche Arbeit, da keine Passwortabfrage mehr erfolgt. - Portknocking ist im lokalen Netzwerk nicht unbedingt erforderlich, sofern der Zugriff aus der bösen, weiten Welt unterbunden wird. Vielen Dank für die ausführlichen Erläuterungen und Anregungen, auch von allen Anderen. Im betrieblichen Umfeld mag das alles richtig sein, keine Frage. Aber mir geht es hier um das Familiennetzwerk, das aus drei Rechner besteht, hinter einem Router mit Firewall hängt und afaik nicht von außen erreichbar ist (außer meine Töchter haben sich eine Web-Adresse besorgt und einen Web-Server eingerichtet :-) ).
btw: Unter AIX wird openSSH nicht defaultmäßig mit installiert, muss extra gemacht werden, jedenfalls unter AIX 5. -- Mit freundlichen Grüßen Matthias Müller (Benutzer #439779 im Linux-Counter http://counter.li.org) PS: Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!
Matthias Müller
Hallo allen,
Am Dienstag, 16. März 2010 schrieb Dieter Kluenter:
Matthias Müller
writes: Hallo,
Am Montag, 15. März 2010 schrieb prengel: snip
- root als ssh-user deaktivieren - mit Keys arbeiten - ggf. noch Portknocking
Ist das alles eigentlich auch im Intranet notwendig, bei Anwendern, die ich kenne?
- root als ssh-user sollte immer deaktiviert sein, lieber ein ssh als User und dann ein su auf dem Host. - mit Keys arbeiten, ist nicht nur ein Schutz vor Passwort-Spoofing, sondern erleichert auch die tägliche Arbeit, da keine Passwortabfrage mehr erfolgt. - Portknocking ist im lokalen Netzwerk nicht unbedingt erforderlich, sofern der Zugriff aus der bösen, weiten Welt unterbunden wird. Vielen Dank für die ausführlichen Erläuterungen und Anregungen, auch von allen Anderen. Im betrieblichen Umfeld mag das alles richtig sein, keine Frage. Aber mir geht es hier um das Familiennetzwerk, das aus drei Rechner besteht, hinter einem Router mit Firewall hängt und afaik nicht von außen erreichbar ist (außer meine Töchter haben sich eine Web-Adresse besorgt und einen Web-Server eingerichtet :-) ).
Es ist ein Irrglaube, dass es einen Unterschied zwischen einem privaten Netzwerk und einem professionellen Netzwerk gibt. Die Sicherheitsanforderungen sind immer gleich. Es ist leichtfertig sich auf den Standpunkt zu stellen: das ist privat, Sicherheit wird klein geschrieben.
btw: Unter AIX wird openSSH nicht defaultmäßig mit installiert, muss extra gemacht werden, jedenfalls unter AIX 5.
Willst du damit sagen, dass du privat AIX5 betreibst? :-) -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Mittwoch, 17. März 2010 schrieb Dieter Kluenter: snip
Es ist ein Irrglaube, dass es einen Unterschied zwischen einem privaten Netzwerk und einem professionellen Netzwerk gibt. Die Sicherheitsanforderungen sind immer gleich. Es ist leichtfertig sich auf den Standpunkt zu stellen: das ist privat, Sicherheit wird klein geschrieben. Nein, aber es sind _andere_ Anforderungen (meiner Ansicht nach), sowohl was die Benutzer betrifft als auch der Umgang mit Sicherheit innerhalb(!) des Netzwerks
btw: Unter AIX wird openSSH nicht defaultmäßig mit installiert, muss extra gemacht werden, jedenfalls unter AIX 5.
Willst du damit sagen, dass du privat AIX5 betreibst? :-)
Nein mache ich nicht. Aber im Büro betreue ich im Rahmen meiner Tätigkeit als CAD-/CAM-Systemprogrammierer vier AIX-Maschinen, einen Linux-FE-Rechner und zwei SCO Open-Server-NC-Datenverwaltungsmaschinen (nicht mehr lange :-) ). Ausgerechnet die große IBM installiert openSSH nicht mit. -- Mit freundlichen Grüßen Matthias Müller (Benutzer #439779 im Linux-Counter http://counter.li.org) PS: Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!
Matthias Müller schrieb:
Hallo, Ausgerechnet die große IBM installiert openSSH nicht mit.
Das ist ja wohl kein Hinderungsgrund. Auch auf einem neu aufgesetztem Ubuntu-Desktop(wie es beim Server ist weiß ich nicht..) ist der openSSH-"Server" nicht enthalten. Den muß man nachinstallieren. -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Michael, abgesehen mal davon das es hier gern gesehen wird, wenn Du Deinen vollen Namen angibst, gibt es genügend Infos dazu. Michael schrieb:
Hallo
ich suche eine Möglichkeit einen Rechner abzusichern auf den ich per ssh zugreife. Ich habe auf dem entfernten Router einen hohen Port geöffnet, sonst sind alle Ports zu und lasse den sshd auf den hohen Port lauschen. Eine Firewall läuft auf dem entfernten Rechner nicht. Die "Sicherheit" besteht nun ja nur aus user und passwort. User und Passwort nicht nicht zu empfehlen. Ansonsten google mal nach "SSH Public Key Authentifizierung". Da gibts genügend Anleitungen im Netz.
Weiterhin: # AllowGroups und AllowUsers einstellen: #AllowUsers a-user b-user #AllowGroups a-b-groups -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
[Sorry, das ist beim ersten Versuch nicht an die Liste rausgegangen] Am Montag, 15. März 2010 08:57:48 schrieb Michael:
Hallo
ich suche eine Möglichkeit einen Rechner abzusichern auf den ich per ssh zugreife. Ich habe auf dem entfernten Router einen hohen Port geöffnet, sonst sind alle Ports zu und lasse den sshd auf den hohen Port lauschen. Eine Firewall läuft auf dem entfernten Rechner nicht. Die "Sicherheit" besteht nun ja nur aus user und passwort.
Wir kann ich das besser machen? Kann ich z.B. über die Firewall relementieren wer überhaut zugreifen darf? Das Problem ist das ich selber immer eine andere IP Adresse zugewiesen bekomme.
Ich hoffe die Frage ist nicht OT, und auch von Interesse für andere.
Viele Grüße Michael
1. Root-Login verbieten. 2. Einloggen nur für einen einzigen Benutzernamen mit möglichst geringen Rechten erlauben. Der Benutzername sollte nicht zu alltäglich sein. Meiner sieht zum Beispiel selbst schon wie ein Passwort aus. 3. Einloggen mit Passwort auch für diesen Benutzer abschalten, nur noch Keys erlauben. 4. Beim Einrichten aufpassen, weil du dich sonst selbst aussperren könntest. Der Benutzer kann dann nach dem Einloggen mit su jederzeit Root-Rechte bekommen. Es gibt dazu zahlreiche Anleitungen im Web, hier zwei Beispiele: http://suse-linux-faq.koehntopp.de/ch/ch-ssh.html http://www.thomas-krenn.com/de/wiki/SSH_Key_Login Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Guten Tag,
und vielen Dank - die meisten Information der unter den Links
genannten Punkte konnte ich nachvollziehen bzw. werden sicher mit
googles Hilfe klarer. Ich bedanke mich für die schnelle Information -
ich melde mich wenn ich wider Erwarten an einer Stelle überhaput nicht
weiter kommen. Eine Lösuing zusammen fassen macht ja vermutlich nicht
zu viel Sinn die gibt es ja schon. Ich habe sich nur nicht gefunden .-
aber diese ist ja nun im Thread verlinkt. Schlage vor den Thread zu
schliessen.
Vielen Dank!
Michael
Am 15. März 2010 09:36 schrieb Juergen Langowski
[Sorry, das ist beim ersten Versuch nicht an die Liste rausgegangen]
Am Montag, 15. März 2010 08:57:48 schrieb Michael:
Hallo
ich suche eine Möglichkeit einen Rechner abzusichern auf den ich per ssh zugreife. Ich habe auf dem entfernten Router einen hohen Port geöffnet, sonst sind alle Ports zu und lasse den sshd auf den hohen Port lauschen. Eine Firewall läuft auf dem entfernten Rechner nicht. Die "Sicherheit" besteht nun ja nur aus user und passwort.
Wir kann ich das besser machen? Kann ich z.B. über die Firewall relementieren wer überhaut zugreifen darf? Das Problem ist das ich selber immer eine andere IP Adresse zugewiesen bekomme.
Ich hoffe die Frage ist nicht OT, und auch von Interesse für andere.
Viele Grüße Michael
1. Root-Login verbieten. 2. Einloggen nur für einen einzigen Benutzernamen mit möglichst geringen Rechten erlauben. Der Benutzername sollte nicht zu alltäglich sein. Meiner sieht zum Beispiel selbst schon wie ein Passwort aus. 3. Einloggen mit Passwort auch für diesen Benutzer abschalten, nur noch Keys erlauben.
4. Beim Einrichten aufpassen, weil du dich sonst selbst aussperren könntest.
Der Benutzer kann dann nach dem Einloggen mit su jederzeit Root-Rechte bekommen.
Es gibt dazu zahlreiche Anleitungen im Web, hier zwei Beispiele:
http://suse-linux-faq.koehntopp.de/ch/ch-ssh.html http://www.thomas-krenn.com/de/wiki/SSH_Key_Login
Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 15 März 2010 08:57:48 schrieb Michael:
ich suche eine Möglichkeit einen Rechner abzusichern auf den ich per ssh zugreife. Ich habe auf dem entfernten Router einen hohen Port geöffnet, sonst sind alle Ports zu und lasse den sshd auf den hohen Port lauschen. Eine Firewall läuft auf dem entfernten Rechner nicht. Die "Sicherheit" besteht nun ja nur aus user und passwort.
eine ausführliche Einleitung gibt es auch hier in dieser PDF Linux Zeitschrift: http://www.file-upload.net/download-2347902/2009-04_PCWL-eBooklet.pdf.html lg Thomas
Viele Grüße Michael
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (9)
-
Axel Birndt
-
Dieter Kluenter
-
Juergen Langowski
-
Kyek, Andreas, VF-DE
-
Matthias Müller
-
Michael
-
prengel
-
Sandy Drobic
-
Thomas Schirrmacher