Mailinglist Archive: opensuse-de (4264 mails)
| < Previous | Next > |
Re: sshd
- From: Christian Boltz <suse@xxxxxxxxx>
- Date: Tue, 9 Nov 2004 23:07:55 +0100
- Message-id: <200411092307.55705@xxxxxxxxxxxxxxx>
Hallo Walter, hallo Leute,
Am Dienstag, 9. November 2004 10:18 schrieb Walter:
Brauchst Du unbedingt den Login per Passwort?
Wenn nicht, stelle komplett auf SSH-Keys um und sperre passwortbasierte
Logins. Hat übrigens gleich zwei Vorteile:
- ein SSH-Key hat deutlich mehr bit als ein Passwort, ist also sicherer
- Angreifer geben recht schnell auf, wenn sie kein Passwort eingeben
dürfen ;-)
Jezt gibt es erstmal eine FAQ-Premiere:
Fragen im Entwurfsstadium
sind Fragen, die noch nicht offiziell verfügbar und auch noch nicht
verlinkt sind, weil der Text noch nicht fertig und/oder noch nicht
nachgeprüft ist. Möglicherweise sind auch noch Fehler enthalten.
Diese Erklärung soll Dich aber nicht davon abhalten, mal
8.7. Wie kann ich den Login ausschließlich mit SSH-Keys erlauben?
http://suse-linux-faq.koehntopp.de/q/q-ssh-keyonly.html
zu lesen ;-)
ausprobieren ;-)
Außerdem: Diese Benutzer brauchen kein Passwort, also kann man mit einem
ungültigen Eintrag in /etc/shadow den direkten Login verhindern.
Gruß
Christian Boltz
--
[Linux-Performance] Man kann echt an allem in der Kiste sparen -
aber bittebitte nicht an RAM, für den Gegenwert von einmal falsch
parken kann man schon gut was rausholen. [Ratti in suse-linux]
Am Dienstag, 9. November 2004 10:18 schrieb Walter:
In letzter Zeit fallen mir auf meiner Box immer wieder folgende[...]
Eintraege im /var/log/messages auf:
Nov 8 17:46:02 myhost sshd[4735]: Illegal user www from
::ffff:210.233.67.132
Da ist wohl ein Script Kid am "Start". Was gibt es für mittel gegen
solche "Angriffe"?
Ich benoetige den Port 22/SSH. D.h. SSH deaktivieren ist keine
Option. SSH auf einen anderen Port legen, ist eine Option aber nicht
schoen! Mit einem Port Scan waere der neue Port ja auch sichtbar.
Hat jemand einen kreativen Tip?
Brauchst Du unbedingt den Login per Passwort?
Wenn nicht, stelle komplett auf SSH-Keys um und sperre passwortbasierte
Logins. Hat übrigens gleich zwei Vorteile:
- ein SSH-Key hat deutlich mehr bit als ein Passwort, ist also sicherer
- Angreifer geben recht schnell auf, wenn sie kein Passwort eingeben
dürfen ;-)
Jezt gibt es erstmal eine FAQ-Premiere:
Fragen im Entwurfsstadium
sind Fragen, die noch nicht offiziell verfügbar und auch noch nicht
verlinkt sind, weil der Text noch nicht fertig und/oder noch nicht
nachgeprüft ist. Möglicherweise sind auch noch Fehler enthalten.
Diese Erklärung soll Dich aber nicht davon abhalten, mal
8.7. Wie kann ich den Login ausschließlich mit SSH-Keys erlauben?
http://suse-linux-faq.koehntopp.de/q/q-ssh-keyonly.html
zu lesen ;-)
Da hätte ich gleich noch eine Frage:
Welchen System Benutzer benoetigen den ueberhaupt eine Shell?
at, bin, daemon,sshd, nobody (updatdb),stunnel
ausprobieren ;-)
Außerdem: Diese Benutzer brauchen kein Passwort, also kann man mit einem
ungültigen Eintrag in /etc/shadow den direkten Login verhindern.
Gruß
Christian Boltz
--
[Linux-Performance] Man kann echt an allem in der Kiste sparen -
aber bittebitte nicht an RAM, für den Gegenwert von einmal falsch
parken kann man schon gut was rausholen. [Ratti in suse-linux]
| < Previous | Next > |