Hallo, Am Montag, 15. März 2010 schrieb prengel: snip

- root als ssh-user deaktivieren - mit Keys arbeiten - ggf. noch Portknocking Ist das alles eigentlich auch im Intranet notwendig, bei Anwendern, die ich kenne?

-- Mit freundlichen Grüßen Matthias Müller (Benutzer #439779 im Linux-Counter http://counter.li.org) PS: Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!

Matthias Müller writes:

Hallo,

Am Montag, 15. März 2010 schrieb prengel: snip

...

- root als ssh-user deaktivieren - mit Keys arbeiten - ggf. noch Portknocking Ist das alles eigentlich auch im Intranet notwendig, bei Anwendern, die ich kenne?

- root als ssh-user sollte immer deaktiviert sein, lieber ein ssh als User und dann ein su auf dem Host. - mit Keys arbeiten, ist nicht nur ein Schutz vor Passwort-Spoofing, sondern erleichert auch die tägliche Arbeit, da keine Passwortabfrage mehr erfolgt. - Portknocking ist im lokalen Netzwerk nicht unbedingt erforderlich, sofern der Zugriff aus der bösen, weiten Welt unterbunden wird. Für das Arbeiten mit Keys siehe ssh(1), ssh-keygen(1) und ~/.ssh/authorized_keys -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

On 16.03.2010 08:20, Axel Birndt wrote:

Moin Dieter,

Dieter Kluenter schrieb:

...

Matthias Müller writes: .. - mit Keys arbeiten, ist nicht nur ein Schutz vor Passwort-Spoofing, sondern erleichert auch die tägliche Arbeit, da keine Passwortabfrage mehr erfolgt. Das ist nur z.T. korrekt, oder ich hab was übersehen ;-) Ohne PW funktioniert das nur, wenn Du dem Key selbst kein PW vergeben hast. Dann kannst Du aber auch gleich Login mit PW erlauben... Oder hab ich da jetzt was übersehen ?

Ja! (^-^) Der Sinn des Keys ist nicht das Arbeiten ohne Passwort, sondern, dass der Besitz des Zertifikates notwendig ist, um sich einzuloggen. Das Passwort kann man durch Über-die-Schulter-Schauen eventuell erspähen, die Datei benötigst du als Kopie, die erhälst du nicht mit dem Über-die-Schulter-schauen. Natürlich verwende ich auch Keys ohne Passwort zum automatischen Administrieren von mehreren Büchsen. (^-°) -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@)drobic (.) de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Am Dienstag, 16. März 2010 08:20:24 schrieb Axel Birndt:

Moin Dieter,

Dieter Kluenter schrieb:

...

Matthias Müller writes:

..

...

- mit Keys arbeiten, ist nicht nur ein Schutz vor Passwort-Spoofing, sondern erleichert auch die tägliche Arbeit, da keine Passwortabfrage mehr erfolgt.

Das ist nur z.T. korrekt, oder ich hab was übersehen ;-) Ohne PW funktioniert das nur, wenn Du dem Key selbst kein PW vergeben hast. Dann kannst Du aber auch gleich Login mit PW erlauben... Oder hab ich da jetzt was übersehen ?

Ja. Ich habe meinen Key ebenfalls mit Passwort abgesichert. Dieses Passwort bezieht sich allerdings nur auf den Aufruf des Keys auf _meinem_ System (Client). Wenn ich das richtige Passwort weiß, darf ich den Key benutzen und mich auf dem Server ohne Passwort anmelden. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

"Dieter Kluenter" writes:

Axel Birndt writes:

...

Moin Dieter,

Dieter Kluenter schrieb:

...

Matthias Müller writes: .. - mit Keys arbeiten, ist nicht nur ein Schutz vor Passwort-Spoofing, sondern erleichert auch die tägliche Arbeit, da keine Passwortabfrage mehr erfolgt. Das ist nur z.T. korrekt, oder ich hab was übersehen ;-) Ohne PW funktioniert das nur, wenn Du dem Key selbst kein PW vergeben hast. Dann kannst Du aber auch gleich Login mit PW erlauben... Oder hab ich da jetzt was übersehen ?

Vermutlich, wenn du deinen public key auf dem entfernten Host in die ~/.ssh/authorized_keys kopierst, kannst du ohne Passwortabfrage einloggen, und vice versa natürlich auch.

Damit hier Klarheit herrscht, möchte ich das noch etwas weiter ausführen. Der public key allein nutzt nichts, daher kann dieser ohne Schaden im System distribuiert werden. Wichtig ist der *Schutz* des private keys, denn private key und public key handeln gemeinsam den Verschlüsselungsalgorithmus aus. Wenn dann noch die /etc/hosts.equiv auf allen Hosts richtig gepflegt wird, erreicht man ein gewisses Maß an Netzwerksicherheit. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Michael wrote:

Am 16. März 2010 09:21 schrieb Dieter Kluenter :

...

Wenn dann noch die /etc/hosts.equiv auf allen Hosts richtig gepflegt wird, erreicht man ein gewisses Maß an Netzwerksicherheit.

Das hier mit habe ich gestern gekämpft....

Each line of these files has the format: hostname [username] hostname may be given as a host name (typically, a fully qualified host name in a DNS environment), an address, or a + character indicating that all hosts are to be trusted.

Wie bekomme ich den fully qualified host name der auf dem entfernten Rechner ankommt heraus? Klar den Hostnamen auf meinem lokalen System kenne ich aber wie stellt sich der _fully qualified_ host name auf dem entfernten Rechern dar? Nur mit meinem hostnamen hatte ich zumindest keinen Erfolg... Ich war ausgesperrt...

Idee: normalerweise loggt der sshd doch nach /v/l/m. Dort sollte zumindest die IP-stehen, von der du ankommst. Und das kannst du am remote-Rechner mit nslookup wieder auflösen. Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Dieter Kluenter schrieb:

Vermutlich, wenn du deinen public key auf dem entfernten Host in die ~/.ssh/authorized_keys kopierst, kannst du ohne Passwortabfrage einloggen, und vice versa natürlich auch.

Hallo Dieter, danke für die Info. Mir persönlich ist das klar. Ich hatte nur nachgefragt, damit auch anderen Usern hier, die mit dem Thema erst angefangen haben, sich dessen bewußt werden was die eine oder andere Variante bedeutet. Trotzdem bin ich natürlich immer für Tipps dankbar, wenn ich da etwas dazu lernen kann ;-) -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Hallo allen, Am Dienstag, 16. März 2010 schrieb Dieter Kluenter:

Matthias Müller writes:

...

Hallo,

Am Montag, 15. März 2010 schrieb prengel: snip

...

- root als ssh-user deaktivieren - mit Keys arbeiten - ggf. noch Portknocking

Ist das alles eigentlich auch im Intranet notwendig, bei Anwendern, die ich kenne?

- root als ssh-user sollte immer deaktiviert sein, lieber ein ssh als User und dann ein su auf dem Host. - mit Keys arbeiten, ist nicht nur ein Schutz vor Passwort-Spoofing, sondern erleichert auch die tägliche Arbeit, da keine Passwortabfrage mehr erfolgt. - Portknocking ist im lokalen Netzwerk nicht unbedingt erforderlich, sofern der Zugriff aus der bösen, weiten Welt unterbunden wird. Vielen Dank für die ausführlichen Erläuterungen und Anregungen, auch von allen Anderen. Im betrieblichen Umfeld mag das alles richtig sein, keine Frage. Aber mir geht es hier um das Familiennetzwerk, das aus drei Rechner besteht, hinter einem Router mit Firewall hängt und afaik nicht von außen erreichbar ist (außer meine Töchter haben sich eine Web-Adresse besorgt und einen Web-Server eingerichtet :-) ).

btw: Unter AIX wird openSSH nicht defaultmäßig mit installiert, muss extra gemacht werden, jedenfalls unter AIX 5. -- Mit freundlichen Grüßen Matthias Müller (Benutzer #439779 im Linux-Counter http://counter.li.org) PS: Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!

Hallo, Am Mittwoch, 17. März 2010 schrieb Dieter Kluenter: snip

Es ist ein Irrglaube, dass es einen Unterschied zwischen einem privaten Netzwerk und einem professionellen Netzwerk gibt. Die Sicherheitsanforderungen sind immer gleich. Es ist leichtfertig sich auf den Standpunkt zu stellen: das ist privat, Sicherheit wird klein geschrieben. Nein, aber es sind _andere_ Anforderungen (meiner Ansicht nach), sowohl was die Benutzer betrifft als auch der Umgang mit Sicherheit innerhalb(!) des Netzwerks

...

btw: Unter AIX wird openSSH nicht defaultmäßig mit installiert, muss extra gemacht werden, jedenfalls unter AIX 5.

Willst du damit sagen, dass du privat AIX5 betreibst? :-)

Nein mache ich nicht. Aber im Büro betreue ich im Rahmen meiner Tätigkeit als CAD-/CAM-Systemprogrammierer vier AIX-Maschinen, einen Linux-FE-Rechner und zwei SCO Open-Server-NC-Datenverwaltungsmaschinen (nicht mehr lange :-) ). Ausgerechnet die große IBM installiert openSSH nicht mit. -- Mit freundlichen Grüßen Matthias Müller (Benutzer #439779 im Linux-Counter http://counter.li.org) PS: Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!

Guten Tag, und vielen Dank - die meisten Information der unter den Links genannten Punkte konnte ich nachvollziehen bzw. werden sicher mit googles Hilfe klarer. Ich bedanke mich für die schnelle Information - ich melde mich wenn ich wider Erwarten an einer Stelle überhaput nicht weiter kommen. Eine Lösuing zusammen fassen macht ja vermutlich nicht zu viel Sinn die gibt es ja schon. Ich habe sich nur nicht gefunden .- aber diese ist ja nun im Thread verlinkt. Schlage vor den Thread zu schliessen. Vielen Dank! Michael Am 15. März 2010 09:36 schrieb Juergen Langowski :

[Sorry, das ist beim ersten Versuch nicht an die Liste rausgegangen]

Am Montag, 15. März 2010 08:57:48 schrieb Michael:

...

Hallo

ich suche eine Möglichkeit einen Rechner abzusichern auf den ich per ssh zugreife. Ich habe auf dem entfernten Router einen hohen Port geöffnet, sonst sind alle Ports zu und lasse den sshd auf den hohen Port lauschen. Eine Firewall läuft auf dem entfernten Rechner nicht. Die "Sicherheit" besteht nun ja nur aus user und passwort.

Wir kann ich das besser machen? Kann ich z.B. über die Firewall relementieren wer überhaut zugreifen darf? Das Problem ist das ich selber immer eine andere IP Adresse zugewiesen bekomme.

Ich hoffe die Frage ist nicht OT, und auch von Interesse für andere.

Viele Grüße Michael

1. Root-Login verbieten. 2. Einloggen nur für einen einzigen Benutzernamen mit möglichst geringen Rechten erlauben. Der Benutzername sollte nicht zu alltäglich sein. Meiner sieht zum Beispiel selbst schon wie ein Passwort aus. 3. Einloggen mit Passwort auch für diesen Benutzer abschalten, nur noch Keys erlauben.

4. Beim Einrichten aufpassen, weil du dich sonst selbst aussperren könntest.

Der Benutzer kann dann nach dem Einloggen mit su jederzeit Root-Rechte bekommen.

Es gibt dazu zahlreiche Anleitungen im Web, hier zwei Beispiele:

http://suse-linux-faq.koehntopp.de/ch/ch-ssh.html http://www.thomas-krenn.com/de/wiki/SSH_Key_Login

Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an:    opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org