Mailinglist Archive: opensuse-de (4264 mails)
| < Previous | Next > |
Re: sshd
- From: Michael Schachtebeck <michael.schachtebeck@xxxxxxxxxxxxxxxxxxxxxx>
- Date: Tue, 09 Nov 2004 11:01:56 +0100
- Message-id: <41909594.9080200@xxxxxxxxxxxxxxxxxxxxxx>
Walter schrieb am 11/09/2004 10:18 AM:
Verschiedene. Der beste Schutz sind sichere Paßwörter für alle User,
unter Umständen kannst Du für bestimmte User den Login via ssh verbieten
und/oder die Login-Shell auf /bin/false setzen, oder Du schränkst den
Zugriff auf den Port mittels iptables auf bestimmte IP-Bereiche ein, die
Zugriff benötigen.
Eine andere Möglichkeit wurde vor einiger Zeit mal in der c't
beschrieben; sie beruht darauf, daß man erst mit speziellen Paketen
"anklopft" und daraufhin der sshd startet - kennt man nicht die genaue
Sequenz, ist der Port einfach dicht. Vielleicht hat jemand anders
dazu das passende Stichwort parat...
Das erspart Dir aber auf jeden Fall diese lästigen Versuche per Skript.
Ein Sicherheitsgewinn ist das nicht, wie Du schon schreibst reicht ja
schon ein Portscan - aber ich habe nach der Änderung des Ports die
Erfahrung gemacht, daß die Anzahl der Versuche von einigen hundert pro
Tag auf genau 0 gesunken ist - und das seit einigen Monaten.
Über Sinn und Unsinn solcher Disclaimer läßt sich streiten, ich finde
sie überflüssig, sinnlos und störend.
MfG,
Michael.
In letzter Zeit fallen mir auf meiner Box immer wieder folgende
Eintraege im /var/log/messages auf:
[...]
Da ist wohl ein Script Kid am "Start". Was gibt es für mittel gegen
solche "Angriffe"?
Verschiedene. Der beste Schutz sind sichere Paßwörter für alle User,
unter Umständen kannst Du für bestimmte User den Login via ssh verbieten
und/oder die Login-Shell auf /bin/false setzen, oder Du schränkst den
Zugriff auf den Port mittels iptables auf bestimmte IP-Bereiche ein, die
Zugriff benötigen.
Eine andere Möglichkeit wurde vor einiger Zeit mal in der c't
beschrieben; sie beruht darauf, daß man erst mit speziellen Paketen
"anklopft" und daraufhin der sshd startet - kennt man nicht die genaue
Sequenz, ist der Port einfach dicht. Vielleicht hat jemand anders
dazu das passende Stichwort parat...
Ich benoetige den Port 22/SSH. D.h. SSH deaktivieren ist keine
Option. SSH auf einen anderen Port legen, ist eine Option aber nicht
schoen!
Das erspart Dir aber auf jeden Fall diese lästigen Versuche per Skript.
Ein Sicherheitsgewinn ist das nicht, wie Du schon schreibst reicht ja
schon ein Portscan - aber ich habe nach der Änderung des Ports die
Erfahrung gemacht, daß die Anzahl der Versuche von einigen hundert pro
Tag auf genau 0 gesunken ist - und das seit einigen Monaten.
----------------------------------------------------------------
Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie
die unbefugte Weitergabe dieser Mail ist nicht gestattet.
This e-mail may contain confidential and/or privileged information.
If you are not the intended recipient (or have received this e-mail
in error) please notify the sender immediately and destroy this
e-mail. Any unauthorized copying, disclosure or distribution of the
material in this e-mail is strictly forbidden.
Über Sinn und Unsinn solcher Disclaimer läßt sich streiten, ich finde
sie überflüssig, sinnlos und störend.
MfG,
Michael.
| < Previous | Next > |