SSH Port wird gescannt

Steffen Genkinger

9 Feb 2008 9 Feb '08

07:43

Hallo zusammen, ich schau mir gerade mein /var/log/messages an und stelle fest, dass die Datei so langsam voll läuft: ---- schnipp ---- Feb 9 08:33:26 terra sshd[21452]: Invalid user student from 121.140.91.106 Feb 9 08:33:30 terra sshd[21455]: Invalid user guest from 116.125.60.214 Feb 9 08:33:32 terra sshd[21457]: Invalid user student from 121.140.91.106 Feb 9 08:33:36 terra sshd[21459]: Invalid user guest from 116.125.60.214 Feb 9 08:33:40 terra sshd[21461]: Invalid user student from 121.140.91.106 Feb 9 08:33:42 terra sshd[21463]: Invalid user guest from 116.125.60.214 Feb 9 08:33:47 terra sshd[21465]: Invalid user student from 121.140.91.106 --- schnapp ---- Im Abstand von 4-6 sec gibt es nun seit heut nacht Verbindungsversuche auf meine Maschine. Kann ich mich irgendwie dagegen wehren oder muss ich das einfach hinnehmen und zur Erhöhung der Sicherheit evtl. den SSH-Port verlegen? Auch wenn ich der SSH-Geschichte eigentlich vertraue finde ich das nicht sonderlich prickelnd. Grüße Steffen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Show replies by date

Michael Raab

9 Feb 9 Feb

08:06

Am Samstag, 9. Februar 2008 08:43:24 schrieb Steffen Genkinger:

...

ich schau mir gerade mein /var/log/messages an und stelle fest, dass die Datei so langsam voll läuft:

[...]

...

Im Abstand von 4-6 sec gibt es nun seit heut nacht Verbindungsversuche auf meine Maschine.

Willkommen im Club. ;)

...

Kann ich mich irgendwie dagegen wehren oder muss ich das einfach hinnehmen und zur Erhöhung der Sicherheit evtl. den SSH-Port verlegen?

Kann man machen. Aber schau mal ins Archiv. Letzten Monat lief hier schonmal ein Thread mit der selben Problematik.

...

Auch wenn ich der SSH-Geschichte eigentlich vertraue finde ich das nicht sonderlich prickelnd.

Das findet wohl jeder Nervend. Bye Michael -- Die Pflicht ruft, lass sie schreien _____________________________________________________________________________ http://macbyte.info/ Mobile Loadavg.: 1.82 1.63 0.87 http://dattuxi.de/ Registered Linux User #228306 Linux 2.6.22-14-x86_64 ICQ #151172379 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Juergen Langowski

08:13

On Sat, 09 Feb 2008 08:43:24 +0100, Steffen Genkinger wrote:

...

Hallo zusammen,

ich schau mir gerade mein /var/log/messages an und stelle fest, dass die Datei so langsam voll läuft:

---- schnipp ---- Feb 9 08:33:26 terra sshd[21452]: Invalid user student from 121.140.91.106 Feb 9 08:33:30 terra sshd[21455]: Invalid user guest from 116.125.60.214 Feb 9 08:33:32 terra sshd[21457]: Invalid user student from 121.140.91.106 Feb 9 08:33:36 terra sshd[21459]: Invalid user guest from 116.125.60.214 Feb 9 08:33:40 terra sshd[21461]: Invalid user student from 121.140.91.106 Feb 9 08:33:42 terra sshd[21463]: Invalid user guest from 116.125.60.214 Feb 9 08:33:47 terra sshd[21465]: Invalid user student from 121.140.91.106 --- schnapp ----

Im Abstand von 4-6 sec gibt es nun seit heut nacht Verbindungsversuche auf meine Maschine. Kann ich mich irgendwie dagegen wehren oder muss ich das einfach hinnehmen und zur Erhöhung der Sicherheit evtl. den SSH-Port verlegen? Auch wenn ich der SSH-Geschichte eigentlich vertraue finde ich das nicht sonderlich prickelnd.

Das gehört zum Grundrauschen. Sobald deine Maschine von außen erreichbar ist, siehst du diese automatisierten Versuche. Mit einer Verlegung des Ports säuberst du nur deine Logfiles, was durchaus sinnvoll sein kann. Du erhöhst aber nicht die Sicherheit, denn wer es ernst mein, scannt einfach alle Ports und findet den SSH-Zugang. Du bremst damit lediglich die Skriptkiddies raus, die normalerweise sowieso keinen Erfolg haben, wenn du ein paar Regeln beachtest. Wichtig wäre schon mal, dass ein Root-Login nicht möglich ist. Im Idealfall darf sich nur ein einziger User einloggen, der nichts weiter tun darf, als sich mit "su" zum root zu machen. Wenn du außerdem noch das Einloggen über Passwort abstellst und nur einen Key zulässt, kannst du absolut ruhig schlafen. Nach meiner Erfahrung sind unsichere PHP-Skripte und Web-Anwendungen als Einbruchsstellen viel gefährlicher und wahrscheinlicher als ein nur mit Key zulässiger SSH-Login. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Oliver Block

13 Feb 13 Feb

22:10

Juergen Langowski schrieb:

...

...
---- schnipp ---- Feb 9 08:33:26 terra sshd[21452]: Invalid user student from 121.140.91.106 Feb 9 08:33:30 terra sshd[21455]: Invalid user guest from 116.125.60.214 Feb 9 08:33:32 terra sshd[21457]: Invalid user student from 121.140.91.106 Feb 9 08:33:36 terra sshd[21459]: Invalid user guest from 116.125.60.214 Feb 9 08:33:40 terra sshd[21461]: Invalid user student from 121.140.91.106 Feb 9 08:33:42 terra sshd[21463]: Invalid user guest from 116.125.60.214 Feb 9 08:33:47 terra sshd[21465]: Invalid user student from 121.140.91.106 --- schnapp ----

Wichtig wäre schon mal, dass ein Root-Login nicht möglich ist. Im Idealfall darf sich nur ein einziger User einloggen, der nichts weiter tun darf, als sich mit "su" zum root zu machen.

Versuch mal, Dich mit falschem Benutzernamen und falschem Passwort über SSH einzuloggen. dann wirst Du festestellen, dass die Einträge im logfile andere sind als dort oben. Da versucht niemand sich einzuloggen, sondern sendet fortlaufend Pakete. Das ist aber kein login-versuch, weil nie ein Passwort übermittelt wird. Stattdessen lediglich ein Benutzername. Gruss, Oliver Block -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Juergen Langowski

23:16

On Wed, 13 Feb 2008 23:10:19 +0100, Oliver Block wrote:

...

Juergen Langowski schrieb:

...
...
---- schnipp ---- Feb 9 08:33:26 terra sshd[21452]: Invalid user student from 121.140.91.106 Feb 9 08:33:30 terra sshd[21455]: Invalid user guest from 116.125.60.214 Feb 9 08:33:32 terra sshd[21457]: Invalid user student from 121.140.91.106 Feb 9 08:33:36 terra sshd[21459]: Invalid user guest from 116.125.60.214 Feb 9 08:33:40 terra sshd[21461]: Invalid user student from 121.140.91.106 Feb 9 08:33:42 terra sshd[21463]: Invalid user guest from 116.125.60.214 Feb 9 08:33:47 terra sshd[21465]: Invalid user student from 121.140.91.106 --- schnapp ----

Wichtig wäre schon mal, dass ein Root-Login nicht möglich ist. Im Idealfall darf sich nur ein einziger User einloggen, der nichts weiter tun darf, als sich mit "su" zum root zu machen.

Versuch mal, Dich mit falschem Benutzernamen und falschem Passwort über SSH einzuloggen. dann wirst Du festestellen, dass die Einträge im logfile andere sind als dort oben. Da versucht niemand sich einzuloggen, sondern sendet fortlaufend Pakete. Das ist aber kein login-versuch, weil nie ein Passwort übermittelt wird. Stattdessen lediglich ein Benutzername.

Richtig. Da wird nie ein Passwort übermittelt, weil es keine gültigen Benutzer sind. Warum sollte ssh noch eine Passwortabfrage einleiten, wenn schon der Benutzer nicht existiert? Vergleiche: http://www.rootforum.de/forum/viewtopic.php?f=41&t=47850 Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Marco Roeben

14 Feb 14 Feb

08:13

On Donnerstag, 14. Februar 2008, Juergen Langowski wrote:

...

On Wed, 13 Feb 2008 23:10:19 +0100, Oliver Block

wrote:

...
Juergen Langowski schrieb:

...
...
---- schnipp ---- Feb 9 08:33:26 terra sshd[21452]: Invalid user student from 121.140.91.106 Feb 9 08:33:30 terra sshd[21455]: Invalid user guest from 116.125.60.214 Feb 9 08:33:32 terra sshd[21457]: Invalid user student from 121.140.91.106 Feb 9 08:33:36 terra sshd[21459]: Invalid user guest from 116.125.60.214 Feb 9 08:33:40 terra sshd[21461]: Invalid user student from 121.140.91.106 Feb 9 08:33:42 terra sshd[21463]: Invalid user guest from 116.125.60.214 Feb 9 08:33:47 terra sshd[21465]: Invalid user student from 121.140.91.106 --- schnapp

...

...
Versuch mal, Dich mit falschem Benutzernamen und falschem Passwort über SSH einzuloggen. dann wirst Du festestellen, dass die Einträge im logfile andere sind als dort oben. Da versucht niemand sich einzuloggen, sondern sendet fortlaufend Pakete. Das ist aber kein login-versuch, weil nie ein Passwort übermittelt wird. Stattdessen lediglich ein Benutzername.

Richtig. Da wird nie ein Passwort übermittelt, weil es keine gültigen Benutzer sind. Warum sollte ssh noch eine Passwortabfrage einleiten, wenn schon der Benutzer nicht existiert?

Je länger hier über dieses Thema diskutiert wird, umso mehr reizt es mich mal ein Testsystem mit den Benutzern "student, guest,..." einzurichten. Die Passwörter nicht zu schwer gewählt und dann mal schauen was passiert. Sobald die Scannerei losgeht setzt man sich mit nem Bier und einer Packung Chips daneben und beobachtet die log-files. :-) MfG Marco

Axel Birndt

08:44

Marco Roeben schrieb:

...

On Donnerstag, 14. Februar 2008, Juergen Langowski wrote:

...
On Wed, 13 Feb 2008 23:10:19 +0100, Oliver Block ... Je länger hier über dieses Thema diskutiert wird, umso mehr reizt es mich mal ein Testsystem mit den Benutzern "student, guest,..." einzurichten. Die Passwörter nicht zu schwer gewählt und dann mal schauen was passiert. Sobald die Scannerei losgeht setzt man sich mit nem Bier und einer Packung Chips daneben und beobachtet die log-files. :-)

Du willst doch nicht etwas einen Honeypot eröffnen? :-) ;) Naja war nur ein Spaß. Mußt halt nur aufpassen, das die User nicht zu viele Rechte haben und gleich mal Deinen Host als Mailrelay mißbrauchen. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Andre Tann

09:50

Axel Birndt, Donnerstag, 14. Februar 2008 09:44:

...

Du willst doch nicht etwas einen Honeypot eröffnen? :-) ;) Naja war nur ein Spaß. Mußt halt nur aufpassen, das die User nicht zu viele Rechte haben und gleich mal Deinen Host als Mailrelay mißbrauchen.

Na, selbst das wäre nicht schlimm. Sowas tut man natürlich nur auf einem Testsystem in einer vmware drin. Habe ich auch schon mal gemacht, und geguckt, was da so abgeladen wird. Postfix darf den Kram halt nicht ausliefern. Danach dann zieht man den Snapshot der vmware-Maschine wieder zurück, und vorbei ist es mit dem Honeypot. Was ich mich nur frage: Wieso macht sich jemand die Mühe x-fach den User student mehrfach auf einer Maschine zu probieren. Wenn der User beim ersten Mal schon nicht existiert, warum sollte sich das nach 100 Versuchen ändern? Wieso verschwendet jemand seine Bandbreite auf so einen Unfug? -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Oliver Block

13:58

...

On Donnerstag, 14. Februar 2008, Juergen Langowski wrote:

...
On Wed, 13 Feb 2008 23:10:19 +0100, Oliver Block

wrote:

...
Juergen Langowski schrieb:

...
...
---- schnipp ---- Feb 9 08:33:26 terra sshd[21452]: Invalid user student from 121.140.91.106 Feb 9 08:33:30 terra sshd[21455]: Invalid user guest from 116.125.60.214 Feb 9 08:33:32 terra sshd[21457]: Invalid user student from 121.140.91.106 Feb 9 08:33:36 terra sshd[21459]: Invalid user guest from 116.125.60.214 Feb 9 08:33:40 terra sshd[21461]: Invalid user student from 121.140.91.106 Feb 9 08:33:42 terra sshd[21463]: Invalid user guest from 116.125.60.214 Feb 9 08:33:47 terra sshd[21465]: Invalid user student from 121.140.91.106 --- schnapp

...
...
Versuch mal, Dich mit falschem Benutzernamen und falschem Passwort über SSH einzuloggen. dann wirst Du festestellen, dass die Einträge im logfile andere sind als dort oben. Da versucht niemand sich einzuloggen, sondern sendet fortlaufend Pakete. Das ist aber kein login-versuch, weil nie ein Passwort übermittelt wird. Stattdessen lediglich ein Benutzername.

Richtig. Da wird nie ein Passwort übermittelt, weil es keine gültigen Benutzer sind. Warum sollte ssh noch eine Passwortabfrage einleiten, wenn schon der Benutzer nicht existiert?

Hast Du es mal selbst ausprobiert? Versuche Dich über ssh einzuloggen. Auch dann wenn kein gültiger Benutzername übermittelt wird, sieht der log-Eintrag anders aus. Du kannst es ohne großen Aufwand überprüfen, wenn Du einen eigenen sshd laufen hast. Gruss, Oliver -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Oliver Block

14:11

Marco Roeben schrieb:

...

Je länger hier über dieses Thema diskutiert wird, umso mehr reizt es mich mal ein Testsystem mit den Benutzern "student, guest,..." einzurichten. Die Passwörter nicht zu schwer gewählt und dann mal schauen was passiert. Sobald die Scannerei losgeht setzt man sich mit nem Bier und einer Packung Chips daneben und beobachtet die log-files. :-)

Ich hoffe, Du weist dann, was Du tust.:-) Meine Vermutung ist, dass überhaupt nichts passieren wird. Ich bin derzeit überzeugt, dass hier ausschliesslich Traffic erzeugt wird. Die IP-Adresse ist wahrscheinlich nicht echt, deshalb kommt es nie zu einer Interaktion zwischen den beiden Rechnern. Aber wirklick überprüfen kann man das wahrscheinlich nur, wenn man Zugriff auf die Router hat, durch den der Traffic läuft. Dann kann man - theoretisch - die Quelle finden. Problem hier ist, dass der Traffic wahrscheinlich über mehrere Netze läuft. Aber wenn er in einem Netz ist, dass man administriert, sollte man die Quelle finden können. Gruss, Oliver -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Marco Roeben

14:56

On Donnerstag, 14. Februar 2008, Oliver Block wrote:

...

Marco Roeben schrieb:

...
Je länger hier über dieses Thema diskutiert wird, umso mehr reizt es mich mal ein Testsystem mit den Benutzern "student, guest,..." einzurichten. Die Passwörter nicht zu schwer gewählt und dann mal schauen was passiert. Sobald die Scannerei losgeht setzt man sich mit nem Bier und einer Packung Chips daneben und beobachtet die log-files. :-)

Ich hoffe, Du weist dann, was Du tust.:-)

Wenn ich an die Stelle komme wo mir das nicht mehr geheuer ist wird halt einfach das Netzwerkkabel gezogen. Danach wird das System sowieso neu aufgesetzt.

...

Meine Vermutung ist, dass überhaupt nichts passieren wird. Ich bin derzeit überzeugt, dass hier ausschliesslich Traffic erzeugt wird. Die IP-Adresse ist wahrscheinlich nicht echt, deshalb kommt es nie zu einer Interaktion zwischen den beiden Rechnern.

Warum sollte jemand ausschliesslich Traffic erzeugen wollen. Was hat man davon? MfG Marco

Oliver Block

15:43

Marco Roeben schrieb:

...

...
Meine Vermutung ist, dass überhaupt nichts passieren wird. Ich bin derzeit überzeugt, dass hier ausschliesslich Traffic erzeugt wird. Die IP-Adresse ist wahrscheinlich nicht echt, deshalb kommt es nie zu einer Interaktion zwischen den beiden Rechnern.

Warum sollte jemand ausschliesslich Traffic erzeugen wollen. Was hat man davon?

Damit meine ich, dass sonst nicht passiert. Ich gehe nicht zwangsläufig davon aus, dass künstlich der Traffic hochgehalten werden soll. Gruss, Oliver -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Michael Raab

15 Feb 15 Feb

11:27

Am Donnerstag, 14. Februar 2008 16:43:20 schrieb Oliver Block:

...

Marco Roeben schrieb:

...
...
Meine Vermutung ist, dass überhaupt nichts passieren wird. Ich bin derzeit überzeugt, dass hier ausschliesslich Traffic erzeugt wird. Die IP-Adresse ist wahrscheinlich nicht echt, deshalb kommt es nie zu einer Interaktion zwischen den beiden Rechnern.

Warum sollte jemand ausschliesslich Traffic erzeugen wollen. Was hat man davon?

Damit meine ich, dass sonst nicht passiert. Ich gehe nicht zwangsläufig davon aus, dass künstlich der Traffic hochgehalten werden soll.

Nein, dass hat ein ganz anderen Hintergrund. Siehe den Artikel auf Heise. http://www.heise.de/newsticker/meldung/103563/ Bye Michael -- Soldaten: Männer, die offene Rechnungen der Politiker mit ihrem Leben bezahlen. -- Ron Kritzfeld _____________________________________________________________________________ http://macbyte.info/ Mobile Loadavg.: 0.99 0.81 0.72 http://dattuxi.de/ Registered Linux User #228306 Linux 2.6.22-14-x86_64 ICQ #151172379 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Oliver Block

14:35

Michael Raab schrieb:

...

Am Donnerstag, 14. Februar 2008 16:43:20 schrieb Oliver Block:

...
Marco Roeben schrieb:

...
...
Meine Vermutung ist, dass überhaupt nichts passieren wird. Ich bin derzeit überzeugt, dass hier ausschliesslich Traffic erzeugt wird. Die IP-Adresse ist wahrscheinlich nicht echt, deshalb kommt es nie zu einer Interaktion zwischen den beiden Rechnern.

Warum sollte jemand ausschliesslich Traffic erzeugen wollen. Was hat man davon?

Damit meine ich, dass sonst nicht passiert. Ich gehe nicht zwangsläufig davon aus, dass künstlich der Traffic hochgehalten werden soll.

Nein, dass hat ein ganz anderen Hintergrund. Siehe den Artikel auf Heise. http://www.heise.de/newsticker/meldung/103563/

Sowohl dieser, als auch der andere Verweis auf securityfocus.com berichten nicht über das, das hier diskutiert wird. Sie berichten darüber, dass jemand in einen Rechner eindringt. Das ist hier ja nicht der Fall. Hier werden nur einmalig Pakete mit einem Verbindungsaufbau gesendet. Es kommt keine Interaktion zustande, sprich es wird nicht versucht einzudringen. Hinzu kommt, dass wahrscheinlich die IP-Adresse gefälscht ist, was ein Grund dafür sein könnte, dass keine Interaktion und kein Verbindungsaufbau stattfindet. Jedenfalls habe ich hier bisher nichts gelesen, dass auf etwas anderes hindeutet. Ich bin mir natürlich bewusst, dass weder ich noch die meisten anderen hier Sicherheitsexperten sind. Also, die Artikel auf die hier verwiesen wird, mögen zutreffend sein. Dennoch geben Sie nicht das Phänomen wieder, dass hier aufgetraten ist. Gruss, Oliver Block -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Andre Tann

14:35

Michael Raab, Freitag, 15. Februar 2008 12:27:

...

Nein, dass hat ein ganz anderen Hintergrund. Siehe den Artikel auf Heise. http://www.heise.de/newsticker/meldung/103563/

Jemand, der eine Linux-Kiste in seine Kontrolle gebracht hat, versucht dauernd Logins von außen? Oder er versucht auf diese Weise, die Kiste in seine Kontrolle zu bringen? -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Heinz Diehl

14 Feb 14 Feb

15:39

On Thu, Feb 14, 2008 at 09:13:33AM +0100, Marco Roeben wrote:

...

Je länger hier über dieses Thema diskutiert wird, umso mehr reizt es mich mal ein Testsystem mit den Benutzern "student, guest,..." einzurichten. Die Passwörter nicht zu schwer gewählt und dann mal schauen was passiert.

Habe ich hier schonmal vor kurzem geschrieben: einen solchen User einrichten, chrooted, ohne Passwort, ohne Rechte, und dann den sshd beim login etwas Lustiges anzeigen zu lassen, z.B. "This is a service of the local police department. Your request has been logged. Tracing your account now..." Irgend so was in der Art :-) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Sebastian Kolbe

15:24

Hallo

...

...
Juergen Langowski schrieb:

...
...
---- schnipp ---- Feb 9 08:33:26 terra sshd[21452]: Invalid user student from 121.140.91.106 --- schnapp ----

Wichtig wäre schon mal, dass ein Root-Login nicht möglich ist. Im Idealfall darf sich nur ein einziger User einloggen, der nichts weiter tun darf, als sich mit "su" zum root zu machen.

Versuch mal, Dich mit falschem Benutzernamen und falschem Passwort über SSH einzuloggen. dann wirst Du festestellen, dass die Einträge im logfile andere sind als dort oben. Da versucht niemand sich einzuloggen, sondern sendet fortlaufend Pakete. Das ist aber kein login-versuch, weil nie ein Passwort übermittelt wird. Stattdessen lediglich ein Benutzername.

Richtig. Da wird nie ein Passwort übermittelt, weil es keine gültigen Benutzer sind. Warum sollte ssh noch eine Passwortabfrage einleiten, wenn schon der Benutzer nicht existiert?

Also, der SSH-Server fragt *immer* nach einem Passwort. Ein anderes Verhalten wäre eine Sicherheitslücke, da sich sonst auf einfache Weise gültige Benutzernamen ausspähen lassen würden. Die Variante, dass Angreifen nur den Benutzernamen schicken und die Verbindung dann sofort wieder beenden, kann mehrere Gründe haben: - DOS-Angriff (Es werden Unmengen an SSH-server Instanzen erzeugt (Der SSH-Server erzeugt pro Login-Versuch mind. einen Betriebssystem-Prozess) Dieses Szenario ist zwar möglich, aber auch leicht zu verhindern. (Konfigurationsoption) - Finden von Accounts ohne Passwort. Damit wäre der Angreifer dann "drin". - Versuch, bestimmte Lücken im SSH-Dienst auszunutzen. Dazu gehören bestimmte Softwarefehler, die in der Vergangenheit in der Software drin waren. - Finden von gültigen Accounts. Die SSH-Software hat leider gewisse Variationen im Antwortverhalten, je nachdem, ob der Account gültig ist oder nicht. Das kann z.B. mit dem aufwendigem Abfragen von LDAP-Servern im Hintergrund zusammenhängen. (Ich meine mich erinnern zu können, das dieser Bug irgendwann ausgebessert wurde. Kann mich aber auch täuschen.) Ich denke diese Variante ist das wahrscheinlichste Szenario. Eine sehr interessante Analyse von Angriffen auf SSH-Server ist übrigens hier zu lesen: http://www.securityfocus.com/infocus/1876 Da stehen auch weitere Tipps zur Absicherung des Systems drin. -- Sebastian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Heinz Diehl

15:33

On Thu, Feb 14, 2008 at 12:16:14AM +0100, Juergen Langowski wrote:

...

Warum sollte ssh noch eine Passwortabfrage einleiten, wenn schon der Benutzer nicht existiert?

Damit der Angreifer nicht unterscheiden kann, ob er einen gueltigen Benutzernamen gefunden hat oder nicht? Wird bei jedem Benutzer, der eingegeben wird, eine Passwortanfrage gestartet, und als Fehlermeldung z.B. "wrong password or username" ausgegeben, dann ist das ein deutlicher Sicherheitsgewinn, denn dann bleibt der Angreifer immer im Zweifel, was denn nun nicht gestimmt hat. Hat er einen User gefunden, dann kommt der dictionary-Angriff sicher nur ein paar Sekunden spaeter... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Peter J. P-N

9 Feb 9 Feb

08:16

Steffen Genkinger schrieb:

...

Im Abstand von 4-6 sec gibt es nun seit heut nacht Verbindungsversuche auf meine Maschine. Kann ich mich irgendwie dagegen wehren oder muss ich das einfach hinnehmen und zur Erhöhung der Sicherheit evtl. den SSH-Port verlegen? Auch wenn ich der SSH-Geschichte eigentlich vertraue finde ich das nicht sonderlich prickelnd.

$ cat /etc/ssh/sshd_config # Authentication: PermitRootLogin no AllowUsers mueller meier schulze Sonst http://wiki.hetzner.de/index.php/Sshd durchlesen, ggf anpassen und sich wieder schlafen legen. Wenn Du ein sicheres Benutzerpasswort hast, dann AFAIK können sie scannen bis sie schwarz werden. Da dürfe ein ggf. laufender webmin wesentlich mehr Risiko darstellen. -- All the best, Peter J. P-N. aedon DESIGNS http://www.hochzeitsbuch.info/ http://www.aedon.eu/ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Klaus Rehberg

08:24

Hallo Steffen, Am Samstag, 9. Februar 2008 schrieb Steffen Genkinger:

...

Hallo zusammen,

ich schau mir gerade mein /var/log/messages an und stelle fest, dass die Datei so langsam voll läuft:

---- schnipp ---- Feb 9 08:33:26 terra sshd[21452]: Invalid user student from 121.140.91.106 Feb 9 08:33:30 terra sshd[21455]: Invalid user guest from 116.125.60.214 Feb 9 08:33:32 terra sshd[21457]: Invalid user student from 121.140.91.106 Feb 9 08:33:36 terra sshd[21459]: Invalid user guest from 116.125.60.214 Feb 9 08:33:40 terra sshd[21461]: Invalid user student from 121.140.91.106 Feb 9 08:33:42 terra sshd[21463]: Invalid user guest from 116.125.60.214 Feb 9 08:33:47 terra sshd[21465]: Invalid user student from 121.140.91.106 --- schnapp ----

Im Abstand von 4-6 sec gibt es nun seit heut nacht Verbindungsversuche auf meine Maschine. Kann ich mich irgendwie dagegen wehren oder muss ich das einfach hinnehmen und zur Erhöhung der Sicherheit evtl. den SSH-Port verlegen? Auch wenn ich der SSH-Geschichte eigentlich vertraue finde ich das nicht sonderlich prickelnd.

Grüße Steffen

/etc/hosts.deny ist dein Freund ;-) Folgende Zeile anfügen (Konsole als root) : All : ALL EXCEPT LOCAL xxx.xxx. Falls Du noch Zugriff über eine externe IP brauchst noch an die Zeile anfügen z.B. 78.51. Der Bereich 78.51.xxx.xxx hat dann noch Zugriff. Dann wird es schon merklich ruhiger im Logfile. Gruß Klaus -- Have a nice Day ;-) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

hamann.w＠t-online.de

09:20

Klaus Rehberg schrieb:

...

...
Hallo Steffen,

Am Samstag, 9. Februar 2008 schrieb Steffen Genkinger:

...
Hallo zusammen,

ich schau mir gerade mein /var/log/messages an und stelle fest, dass die Datei so langsam voll l=E4uft:

---- schnipp ---- Feb 9 08:33:26 terra sshd[21452]: Invalid user student from 121.140.91.1= 06 Feb 9 08:33:30 terra sshd[21455]: Invalid user guest from 116.125.60.214 Feb 9 08:33:32 terra sshd[21457]: Invalid user student from 121.140.91.1= 06 Feb 9 08:33:36 terra sshd[21459]: Invalid user guest from 116.125.60.214 Feb 9 08:33:40 terra sshd[21461]: Invalid user student from 121.140.91.1= 06 Feb 9 08:33:42 terra sshd[21463]: Invalid user guest from 116.125.60.214 Feb 9 08:33:47 terra sshd[21465]: Invalid user student from 121.140.91.1= 06 --- schnapp ----

Im Abstand von 4-6 sec gibt es nun seit heut nacht Verbindungsversuche auf meine Maschine. Kann ich mich irgendwie dagegen wehren oder muss ich das einfach hinnehmen und zur Erh=F6hung der Sicherheit evtl. den SSH-Port verlegen? Auch wenn ich der SSH-Geschichte eigentlich vertraue finde ich das nicht sonderlich prickelnd.

Gr=FC=DFe Steffen

/etc/hosts.deny ist dein Freund ;-)

=46olgende Zeile anf=FCgen (Konsole als root) :

All : ALL EXCEPT LOCAL xxx.xxx.

=46alls Du noch Zugriff =FCber eine externe IP brauchst noch an die Zeile a= nf=FCgen=20 z.B. 78.51.

Der Bereich 78.51.xxx.xxx hat dann noch Zugriff. Dann wird es schon merklich ruhiger im Logfile.

Gru=DF Klaus

Hallo Klaus,

wenn ich von meinem Server etwas will, komme ich meist von zuhause, d.h. mit einer IP aus dem nicht ganz kleinen Adressbereich von t-com Wenn ich im Notfall was von meinem Server will, komme ich evtl. von irgendeinem Rechner, auf dem ssh verfügbar ist. Ob ich in irgendeinen Rechner einen USB Stick mit meinem Key reinstecken kann, ist eher fraglich. Ich habe mir aber pam_abl eingerichtet - nach den ersten drei Versuchen im 3-Sekunden Abstand ist der Zugang von einer IP erstmal gesperrt Wolfgang Hamann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Andreas Kyek

08:45

Am Samstag, 9. Februar 2008 08:43 schrieb Steffen Genkinger:

...

Hallo zusammen,

ich schau mir gerade mein /var/log/messages an und stelle fest, dass die Datei so langsam voll läuft:

---- schnipp ---- Feb 9 08:33:26 terra sshd[21452]: Invalid user student from 121.140.91.106 Feb 9 08:33:30 terra sshd[21455]: Invalid user guest from 116.125.60.214 Feb 9 08:33:32 terra sshd[21457]: Invalid user student from 121.140.91.106 Feb 9 08:33:36 terra sshd[21459]: Invalid user guest from 116.125.60.214 Feb 9 08:33:40 terra sshd[21461]: Invalid user student from 121.140.91.106 Feb 9 08:33:42 terra sshd[21463]: Invalid user guest from 116.125.60.214 Feb 9 08:33:47 terra sshd[21465]: Invalid user student from 121.140.91.106 --- schnapp ----

Im Abstand von 4-6 sec gibt es nun seit heut nacht Verbindungsversuche auf meine Maschine. Kann ich mich irgendwie dagegen wehren oder muss ich das einfach hinnehmen und zur Erhöhung der Sicherheit evtl. den SSH-Port verlegen? Auch wenn ich der SSH-Geschichte eigentlich vertraue finde ich das nicht sonderlich prickelnd.

Also: 1. gegen die Anfragen an deinen Port 22 kannst du genau .... GAR NICHTS machen (es sein denn, du kannst die jungs dazu überreden ihre Einbruchsversuche einzustellen) 2. Was du tun kannst, ist die Stelle zu bestimmen, bis zu der diese unerwünschten Requests vordringen können. In deinem Fall kommen die bis zum sshd und werden dort abgewiesen; du könntest es z.B. durch Firewall Regeln bereits im Network-stack passieren lassen. Da gibt die einfachen "einfach immer abweisen" Regeln aber auch Versuche, durch gezielte Verzögerung den Angreifer auszubremsen. Oder aber den sshd von aussen nicht mehr auf Port 22 sichtbar machen. (Meiner lauscht intern auf Port 22; ist aber von aussen auf einem ganz exotischen Port ansprechbar) Fakt ist, das du (sobald dein Rechner im "Netz" ist) diesen Angriffen insofern ausgesetzt bist, das deine "offizielle" IP von aussen IMMER attackiert wird. Andreas (der ansonsten die meisten connects von aussen bereits am externen Router (FritzBox) abblockt) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Steffen Genkinger

10:08

...

Am Samstag, 9. Februar 2008 08:43 schrieb Steffen Genkinger:

...
Im Abstand von 4-6 sec gibt es nun seit heut nacht Verbindungsversuche auf meine Maschine. Kann ich mich irgendwie dagegen wehren oder muss ich das einfach hinnehmen und zur Erhöhung der Sicherheit evtl. den SSH-Port verlegen? Auch wenn ich der SSH-Geschichte eigentlich vertraue finde ich das nicht sonderlich prickelnd.

Das Tastaturgeklapper von Andreas Kyek, am 09.02.2008 09:45 lautete:

...

1. gegen die Anfragen an deinen Port 22 kannst du genau .... GAR NICHTS machen (es sein denn, du kannst die jungs dazu überreden ihre Einbruchsversuche einzustellen)

Schlecht. Aber wenigstens gut zu wissen.

...

2. Was du tun kannst, ist die Stelle zu bestimmen, bis zu der diese unerwünschten Requests vordringen können.

In deinem Fall kommen die bis zum sshd und werden dort abgewiesen; du könntest es z.B. durch Firewall Regeln bereits im Network-stack passieren lassen. Da gibt die einfachen "einfach immer abweisen" Regeln aber auch Versuche, durch gezielte Verzögerung den Angreifer auszubremsen. Oder aber den sshd von aussen nicht mehr auf Port 22 sichtbar machen. (Meiner lauscht intern auf Port 22; ist aber von aussen auf einem ganz exotischen Port ansprechbar)

Das werde ich mir auf jeden Fall mal anschauen. Da ich mittlerweile mit drei Rechnern über dyndns mehr oder weniger regelmäßig hin und her kommuniziere möchte ich da schon einigermaßen was sicheres haben.

...

Fakt ist, das du (sobald dein Rechner im "Netz" ist) diesen Angriffen insofern ausgesetzt bist, das deine "offizielle" IP von aussen IMMER attackiert wird.

Andreas (der ansonsten die meisten connects von aussen bereits am externen Router (FritzBox) abblockt)

FritzBox habe ich auch und ich habe auch nur Port 22 an meine Maschine weitergeleitet. Von daher fühle ich mich schon einigermaßen sicher. Aber man weiß halt nie ... Die Scans haben mittlerweile wenigstens aufgehört. Gruß Steffen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

hamann.w＠t-online.de

10:50

...

...
...
Am Samstag, 9. Februar 2008 08:43 schrieb Steffen Genkinger:

FritzBox habe ich auch und ich habe auch nur Port 22 an meine Maschine weitergeleitet. Von daher fühle ich mich schon einigermaßen sicher. Aber man weiß halt nie ...

Die Scans haben mittlerweile wenigstens aufgehört.

Gruß Steffen

Hallo Steffen, die Scans hören immer irgendwie auf - und dann kommt das nächste Opfer an die Reihe :) Wolfgang Hamann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Steffen Genkinger

11:01

Das Tastaturgeklapper von hamann.w@t-online.de, am 09.02.2008 11:50 lautete:

...

die Scans hören immer irgendwie auf - und dann kommt das nächste Opfer an die Reihe :)

Bei mir gibts offensichtlich nichts zu holen ... und dann zieht die Karavane eben weiter ;-) Gruß Steffen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Thomas Trueten

09:18

Hallo Steffen, eventuell ist fail2ban etwas für Dich: http://www.howtoforge.de/howto/verhindern-von-brute-force-attacken-mit-fail2... --- Original-Nachricht --- Absender: Steffen Genkinger Datum: 09.02.2008 08:43

...

Im Abstand von 4-6 sec gibt es nun seit heut nacht Verbindungsversuche auf meine Maschine. Kann ich mich irgendwie dagegen wehren oder muss ich das einfach hinnehmen und zur Erhöhung der Sicherheit evtl. den SSH-Port verlegen? Auch wenn ich der SSH-Geschichte eigentlich vertraue finde ich das nicht sonderlich prickelnd.

-- Bonan tagon, Thomas Trueten http://www.trueten.de PGP Key Id: 553B87AF9AAF67F6 available @ pgp KeyServers Fingerprint = 72A3 7A20 C196 A1E3 4922 F512 553B 87AF 9AAF 67F6 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Heinz Diehl

10:33

On Sat, Feb 09, 2008 at 08:43:24AM +0100, Steffen Genkinger wrote:

...

ich schau mir gerade mein /var/log/messages an und stelle fest, dass die Datei so langsam voll läuft: Feb 9 08:33:26 terra sshd[21452]: Invalid user student from 121.140.91.106

Welcome to the Internet! :-) Login via ssh sollte man nur ueber Key zulassen, nicht via Passwort. Die Portscannerei kannst du ignorieren, ist einfach so. Moechte mal wissen, wie viele Dumme die eigentlich finden mit ihrer ollen Scannerei. Kannst auch einen ssh-Port chrooted aufsetzen, bei dem jeder Droesel mit user "guest" und "student" sofort reinkommt, und von openssh entsprechend begruesst wird: Welcome to xxx, a service of the local police department. Your connection has been traced and your IP was logged. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Sandy Drobic

10:37

Steffen Genkinger wrote:

...

Hallo zusammen,

ich schau mir gerade mein /var/log/messages an und stelle fest, dass die Datei so langsam voll läuft:

---- schnipp ---- Feb 9 08:33:26 terra sshd[21452]: Invalid user student from 121.140.91.106 Feb 9 08:33:30 terra sshd[21455]: Invalid user guest from 116.125.60.214 Feb 9 08:33:32 terra sshd[21457]: Invalid user student from 121.140.91.106 Feb 9 08:33:36 terra sshd[21459]: Invalid user guest from 116.125.60.214 Feb 9 08:33:40 terra sshd[21461]: Invalid user student from 121.140.91.106 Feb 9 08:33:42 terra sshd[21463]: Invalid user guest from 116.125.60.214 Feb 9 08:33:47 terra sshd[21465]: Invalid user student from 121.140.91.106 --- schnapp ----

Im Abstand von 4-6 sec gibt es nun seit heut nacht Verbindungsversuche auf meine Maschine. Kann ich mich irgendwie dagegen wehren oder muss ich das einfach hinnehmen und zur Erhöhung der Sicherheit evtl. den SSH-Port verlegen? Auch wenn ich der SSH-Geschichte eigentlich vertraue finde ich das nicht sonderlich prickelnd.

Der Unterschied zu normalen Vertippern ist, dass diese Scripte es sehr hartnäckig versuchen und oft sogar ein Wörterbuch durchackern. Fail2ban ist dafür sehr angenehm, da man es für sehr viele Dienste anpassen kann. Ich habe es insbesondere für FTP genommen, da ich ständig ein paar Hammel habe, die immer und ewig versuchen, als user "Administrator" sich einzuloggen, auch wenn der User ungültig ist. Für mich war es dabei fast wichtiger, nicht so viel Rauschen im Log zu haben. Du bekommst dann solche Mails, wenn es gewünscht ist: ----------------------------------------------- [Fail2Ban] VSFTPD: banned 64.251.22.40 Hi, The IP 64.251.22.40 has just been banned by Fail2Ban after 9 attempts against VSFTPD. Here are more information about 64.251.22.40: Infolink Information Services Inc. INFOLINK-BLK-100 (NET-64-251-0-0-1) 64.251.0.0 - 64.251.31.255 Serverpronto INMM-64-251-22-0 (NET-64-251-22-0-1) 64.251.22.0 - 64.251.22.255 # ARIN WHOIS database, last updated 2008-02-03 19:03 # Enter ? for additional hints on searching ARIN's WHOIS database. Regards, Fail2Ban ----------------------------------------------- -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Marcus Roeckrath

15:14

Hallo Steffen, Am Samstag, 9. Februar 2008 08:43 schrieb Steffen Genkinger:

...

ich schau mir gerade mein /var/log/messages an und stelle fest, dass die Datei so langsam voll läuft:

---- schnipp ---- Feb 9 08:33:26 terra sshd[21452]: Invalid user student from [...] ----

Im Abstand von 4-6 sec gibt es nun seit heut nacht Verbindungsversuche auf meine Maschine. Kann ich mich irgendwie dagegen wehren oder muss ich das einfach hinnehmen und zur Erhöhung der Sicherheit evtl. den SSH-Port verlegen?

Wozu brauchst Du ssh? Nur für den internen Gebrauch oder willst Du Dich auch selbst von aussen einloggen? Im ersten Fall würde ich den Port 22 für von aussen kommende Verbindungen schliessen. Verwendest Du selbst Password-Login? Dann denke mal über Key-Login nach. -- Gruss Marcus Marcus Roeckrath -- Vikarsbusch 8 -- D-48308 Senden -- Germany Phone : +49-2536-9944 -- Fax : +49-2536-9943 E-Mail : marcus.roeckrath@gmx.de WWW : http://home.foni.net/~marcusroeckrath/

Steffen Genkinger

15:49

Hallo Marcus, Das Tastaturgeklapper von Marcus Roeckrath, am 09.02.2008 16:14 lautete:

...

Wozu brauchst Du ssh? Nur für den internen Gebrauch oder willst Du Dich auch selbst von aussen einloggen?

Im ersten Fall würde ich den Port 22 für von aussen kommende Verbindungen schliessen. Es ist ganz praktisch, wenn ich auswärts bei Muttern oder Schwestern bin und mir dann auch mal kurzfristig was holen kann. Anstatt externe HD oder CD brennen schieb ich einiges an Daten per scp durch die Gegend. Das möchte ich eigentlich nicht missen. Und dann möchte ich zumindest die Möglichkeit haben, per SSH (oder NX) im Notfall Fernwartung betreiben zu können.

Verwendest Du selbst Password-Login? Dann denke mal über Key-Login nach.

Das mit dem Key-Login lief bisher unter dem Motto: Mal in Angriff nehmen, wenn ich Zeit habe. Aber es bekommt nun glaub ich Prio 1. Viele Grüße Steffen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Axel Birndt

19:34

....

...

Das mit dem Key-Login lief bisher unter dem Motto: Mal in Angriff nehmen, wenn ich Zeit habe. Aber es bekommt nun glaub ich Prio 1.

Das kann man nur unbedingt empfehlen! Einen Rechner mit Paßwort-Login ins Internet zu stellen, würde ich persönlich schon fast als fahrlässig bezeichnen. => Also unbedingt auf Key-Login umstellen! Gruß Axel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Marco Roeben

11 Feb 11 Feb

08:28

On Samstag, 9. Februar 2008, Axel Birndt wrote:

...

...
Das mit dem Key-Login lief bisher unter dem Motto: Mal in Angriff nehmen, wenn ich Zeit habe. Aber es bekommt nun glaub ich Prio 1.

Das kann man nur unbedingt empfehlen! Einen Rechner mit Paßwort-Login ins Internet zu stellen, würde ich persönlich schon fast als fahrlässig bezeichnen. => Also unbedingt auf Key-Login umstellen!

Es gibt gute Gründe einen Rechner ohne Key-Login ins Netz zu stellen. Mein Rechner hat keinen Key-Login, da ich von jedem Computer aus in der Lage sein will mich mal schnell einzuloggen. Wer hat denn seinen Key immer mit dabei? Und bestimmt möchte ich auf fremden Rechnern meinen Key nicht hinterlassen. Ich bin der Meinung, dass ein gut gewähltes Passwort mit einer entsprechend optimierten sshd_config ausreichend ist. Und wenn ein böser Bub doch noch einbricht muss er erstmal root werden. Schliesslich hört die Sicherheit nicht nach dem sshd auf. :-) Wünsche noch einen angenehmen Tag. Marco

Martin Schröder

08:42

Am 11.02.08 schrieb Marco Roeben :

...

will mich mal schnell einzuloggen. Wer hat denn seinen Key immer mit dabei?

Hast Du keinen USB-Stick? Hat Dein Handy keinen Speicher? :-) Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Roman Fietze

09:18

Hallo Martin, On Monday 11 February 2008 09:42:05 Martin Schröder wrote:

...

Hast Du keinen USB-Stick? Hat Dein Handy keinen Speicher? :-)

Fuer mich zum Verstaendnis und damit ich nichts vergesse mal an einem Stueck, und dann wieder die leidigen Fragen: - Einstellungen Server erst mal wie bei Hetzner - Client Pubkey wie gehabt in server:~/.ssh/authorized_keys - NAT auf Router xxxxx->22 auch klar und gut Wie sieht das nun mit dem Password fuer den ssh-Key aus? Ohne Password tabu? Wieso nach wie vor UsePam auf yes? Wieso muss ich auf dem Client ~/.ssh/config aendern? Wieso sehe ich da im Beispiel bei Hetzner einen RSA-Key als Identityfile, habe aber auf dem Server in authorized_keys den public DSA Key vom Client liegen? Im Voraus: danke schon mal fuer die erhoehte Sicherheit meiner Kiste :) Roman -- Roman Fietze Telemotive AG Büro Mühlhausen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Juergen Langowski

08:55

On Mon, 11 Feb 2008 09:28:26 +0100, Marco Roeben wrote:

...

On Samstag, 9. Februar 2008, Axel Birndt wrote:

...
...
Das mit dem Key-Login lief bisher unter dem Motto: Mal in Angriff nehmen, wenn ich Zeit habe. Aber es bekommt nun glaub ich Prio 1.

Das kann man nur unbedingt empfehlen! Einen Rechner mit Paßwort-Login ins Internet zu stellen, würde ich persönlich schon fast als fahrlässig bezeichnen. => Also unbedingt auf Key-Login umstellen!

Es gibt gute Gründe einen Rechner ohne Key-Login ins Netz zu stellen. Mein Rechner hat keinen Key-Login, da ich von jedem Computer aus in der Lage sein will mich mal schnell einzuloggen. Wer hat denn seinen Key immer mit dabei?

Ich. Auf einem Memory-Stick. Den habe ich sowieso dabei, weil ich ihn als zusätzliche Sicherung für ein paar besonders wichtige Dokumente benutze.

...

Und bestimmt möchte ich auf fremden Rechnern meinen Key nicht hinterlassen.

Ich bin der Meinung, dass ein gut gewähltes Passwort mit einer entsprechend optimierten sshd_config ausreichend ist. Und wenn ein böser Bub doch noch einbricht muss er erstmal root werden. Schliesslich hört die Sicherheit nicht nach dem sshd auf. :-)

Ein lokaler Benutzer kann root-Rechte bekommen: http://lists.opensuse.org/opensuse-security/2008-02/msg00012.html Betroffen sind anscheinend Opensuse 10.2. und 10.3, der Patch ist noch nicht raus. In diesem Thread sagte jemand (meine Übersetzung): "Wenn auf deiner Kiste feindselige Benutzer eingeloggt sind und du dringend diesen Patch brauchst, dann hast du schlimmere Probleme als diesen Patch." Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Marco Roeben

09:56

On Montag, 11. Februar 2008, Juergen Langowski wrote:

...

...
Es gibt gute Gründe einen Rechner ohne Key-Login ins Netz zu stellen. Mein Rechner hat keinen Key-Login, da ich von jedem Computer aus in der Lage sein will mich mal schnell einzuloggen. Wer hat denn seinen Key immer mit dabei?

Ich. Auf einem Memory-Stick. Den habe ich sowieso dabei, weil ich ihn als zusätzliche Sicherung für ein paar besonders wichtige Dokumente benutze.

Ich hab noch nicht einmal immer mein Portemonnaie dabei. Warum sollte ein USB-Stick dann auf einmal wichtier werden als Kreditkart, Ausweis, etc.? Ok, Du hast schon recht, es ist mittlerweile kein großer Aufwand mehr das dabei zu haben, aber es ist mir einfach zu umständlich.

...

Ein lokaler Benutzer kann root-Rechte bekommen:

http://lists.opensuse.org/opensuse-security/2008-02/msg00012.html

Ok, das hört sich jetzt etwas blöd an, aber "es gibt keine absolute Sicherheit". Auch bei diesem Bug braucht es erstmal einen der sich damit auskennt. Die Skript-Kiddies sind dies definitiv nicht. Ein Rechner den ich unter allen Umständen schützen muss ist auf jeden Fall hinter ein Firewall oder besser gar nicht im Netz. Die Daten darauf sind verschlüsselt und erstmal nicht für remote-Benutzer sichtbar. Auf die Firewall kann man sich nur lokal und nicht übers Netz einloggen. Die Firewall schliesst alles ausser ssh zum entsprechenden Rechner aus, Logs werden natürlich auf einem dritten geschützen Rechner im Netz gespeichert etc. Auch Schlüssel sind nicht des Weisheits letzter Schluss. Beispiel: Du musst auf Deinem Rechner über ssh zugreifen. Der Rechner von dem Du das tun musst gehört einem potentiell bösen Menschen der sich gerne mal auf Deinem Rechner umschauen möchte. Du muss Deinen Schlüssel auf seinen Rechner spielen um zugriff zu bekommen. Wer sagt Dir denn, dass der böse Mensch nicht alle Eingaben bezüglich des ssh-Clients auf Platte mitschreibt? Vielleicht hat der seinen Client so angepasst, dass alle verwendeten Schlüssel gleich an einem Dir nicht ersichtlichen Ort gespeichert werden? Um die Schlüsselvariante wirklich sicher zu machen darfst Du diesen eben nicht überall verwenden. Mir reicht mein Passwort und ich mag die Flexibilität die damit einhergeht. Meinen Kopf habe ich schliesslich immer dabei. :-) Im Endeffekt ist es mal wieder oersönliches gusto ob man ein Passwort, Schlüssel, Port-Knocking etc. verwendet. MfG Marco

Juergen Langowski

10:12

On Mon, 11 Feb 2008 10:56:52 +0100, Marco Roeben wrote:

...

On Montag, 11. Februar 2008, Juergen Langowski wrote:

(...)

...

Auch Schlüssel sind nicht des Weisheits letzter Schluss. Beispiel: Du musst auf Deinem Rechner über ssh zugreifen. Der Rechner von dem Du das tun musst gehört einem potentiell bösen Menschen der sich gerne mal auf Deinem Rechner umschauen möchte. Du muss Deinen Schlüssel auf seinen Rechner spielen um zugriff zu bekommen. Wer sagt Dir denn, dass der böse Mensch nicht alle Eingaben bezüglich des ssh-Clients auf Platte mitschreibt? Vielleicht hat der seinen Client so angepasst, dass alle verwendeten Schlüssel gleich an einem Dir nicht ersichtlichen Ort gespeichert werden?

Um die Schlüsselvariante wirklich sicher zu machen darfst Du diesen eben nicht überall verwenden.

(...) Ich muss meinen Schlüssel nicht "auf seinen Rechner spielen", sondern lediglich den USB-Stick einstecken, damit er gelesen werden kann. Der Key selbst ist wiederum mit einem eigenen Passwort geschützt, das ich vor Benutzung eingeben muss, und das habe ich tatsächlich nur im Kopf. Ohne Passwort ist der Key unbrauchbar. Natürlich können böse Menschen so etwas protokollieren, dazu gibt es ja Keylogger usw. Alles, was du dazu sagen könntest, gilt allerdings auch für die von dir bevorzugten Passwörter, die du dann ebenfalls nicht mehr verwenden könntest. Deine Argumentation ist hier nicht ganz schlüssig. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Marco Roeben

11:17

On Montag, 11. Februar 2008, Juergen Langowski wrote:

...

Ich muss meinen Schlüssel nicht "auf seinen Rechner spielen", sondern lediglich den USB-Stick einstecken, damit er gelesen werden kann.

Ist mir auch klar, ein kleines Skript zum kopieren aller Daten auf einem USB-Stick sobald dieser angesteckt wird bekommen auch noch Skript-Kiddies hin. Um den Kopieraufwand nicht zu groß zu machen wird er Stick einfach gescannt. Fällt auch gar nicht auf da z.B. Windows dies automatisch macht.

...

Der Key selbst ist wiederum mit einem eigenen Passwort geschützt, das ich vor Benutzung eingeben muss, und das habe ich tatsächlich nur im Kopf. Ohne Passwort ist der Key unbrauchbar.

Ohne Passwort komme ich auch nicht auf meinen Rechner. Bei einem Key der loakl vorliegt kann ich jedoch viel schneller per brute-force versuchen das Passwort zu knacken. Remote kann ich dies erkennen und mit entsprechenden Tools unterbinden.

...

Alles, was du dazu sagen könntest, gilt allerdings auch für die von dir bevorzugten Passwörter, die du dann ebenfalls nicht mehr verwenden könntest. Deine Argumentation ist hier nicht ganz schlüssig.

Die Argumentation kann nie ganz schlüssig sein, da die negativen Punkte sich irgendwie auf beide Methoden, mit und ohne Key, beziehen lassen. Ich denke es nicht ganz richtig ist zu sagen, dass ein Login mit Key immer sicherer ist. Unter bestimmtenn Umständen kann es mit oder auch ohne Key sicherer sein. Fred Ockert hat es in seiner Mail doch schön ausgedrückt. Erstmal einen passenden Port, User und das Passwort finden. MfG Marco

M. Skiba

21:42

Am Montag, 11. Februar 2008 11:12:41 schrieb Juergen Langowski:

...

On Mon, 11 Feb 2008 10:56:52 +0100, Marco Roeben

wrote:

...
On Montag, 11. Februar 2008, Juergen Langowski wrote:

(...)

...
Auch Schlüssel sind nicht des Weisheits letzter Schluss. Beispiel: Du musst auf Deinem Rechner über ssh zugreifen. Der Rechner von dem Du das tun musst gehört einem potentiell bösen Menschen der sich gerne mal auf Deinem Rechner umschauen möchte. Du muss Deinen Schlüssel auf seinen Rechner spielen um zugriff zu bekommen. Wer sagt Dir denn, dass der böse Mensch nicht alle Eingaben bezüglich des ssh-Clients auf Platte mitschreibt? Vielleicht hat der seinen Client so angepasst, dass alle verwendeten Schlüssel gleich an einem Dir nicht ersichtlichen Ort gespeichert werden?

Um die Schlüsselvariante wirklich sicher zu machen darfst Du diesen eben nicht überall verwenden.

(...)

Ich muss meinen Schlüssel nicht "auf seinen Rechner spielen", sondern lediglich den USB-Stick einstecken, damit er gelesen werden kann.

Der Key selbst ist wiederum mit einem eigenen Passwort geschützt, das ich vor Benutzung eingeben muss, und das habe ich tatsächlich nur im Kopf. Ohne Passwort ist der Key unbrauchbar.

Natürlich können böse Menschen so etwas protokollieren, dazu gibt es ja Keylogger usw.

Alles, was du dazu sagen könntest, gilt allerdings auch für die von dir bevorzugten Passwörter, die du dann ebenfalls nicht mehr verwenden könntest. Deine Argumentation ist hier nicht ganz schlüssig. Jain - Wie sieht es hier mit OTP - One Time Password (ich weiß.. eigentlich ist OTP One-Time-Pad, aber das hat damit nix zu tun) - aus?

Wie bei einer TAN-Liste, wird hier nach jedem SSH-Login ein neues Password verwendet, das alte ist somit unbrauchbar für einen nachfolgenden Trittbrettfahrer. Ich habe irgendwo mal davon gelesen - kann's aber leider grade nicht finden (war aber sogar irgendwas deutsches meine ich..) - Klingt aber auch ganz schlüssig. Grüße Michael

Fred Ockert

10:46

Marco Roeben schrieb:

...

On Montag, 11. Februar 2008, Juergen Langowski wrote:

...
...
Es gibt gute Gründe einen Rechner ohne Key-Login ins Netz zu stellen. Mein Rechner hat keinen Key-Login, da ich von jedem Computer aus in der Lage sein will mich mal schnell einzuloggen. Wer hat denn seinen Key immer mit dabei? Ich. Auf einem Memory-Stick. Den habe ich sowieso dabei, weil ich ihn als zusätzliche Sicherung für ein paar besonders wichtige Dokumente benutze.

Ich hab noch nicht einmal immer mein Portemonnaie dabei. Warum sollte ein USB-Stick dann auf einmal wichtier werden als Kreditkart, Ausweis, etc.? Ok, Du hast schon recht, es ist mittlerweile kein großer Aufwand mehr das dabei zu haben, aber es ist mir einfach zu umständlich.

...
Ein lokaler Benutzer kann root-Rechte bekommen:

http://lists.opensuse.org/opensuse-security/2008-02/msg00012.html

Ok, das hört sich jetzt etwas blöd an, aber "es gibt keine absolute Sicherheit". Auch bei diesem Bug braucht es erstmal einen der sich damit auskennt. Die Skript-Kiddies sind dies definitiv nicht. Ein Rechner den ich unter allen Umständen schützen muss ist auf jeden Fall hinter ein Firewall oder besser gar nicht im Netz. Die Daten darauf sind verschlüsselt und erstmal nicht für remote-Benutzer sichtbar. Auf die Firewall kann man sich nur lokal und nicht übers Netz einloggen. Die Firewall schliesst alles ausser ssh zum entsprechenden Rechner aus, Logs werden natürlich auf einem dritten geschützen Rechner im Netz gespeichert etc.

Auch Schlüssel sind nicht des Weisheits letzter Schluss. Beispiel: Du musst auf Deinem Rechner über ssh zugreifen. Der Rechner von dem Du das tun musst gehört einem potentiell bösen Menschen der sich gerne mal auf Deinem Rechner umschauen möchte. Du muss Deinen Schlüssel auf seinen Rechner spielen um zugriff zu bekommen. Wer sagt Dir denn, dass der böse Mensch nicht alle Eingaben bezüglich des ssh-Clients auf Platte mitschreibt? Vielleicht hat der seinen Client so angepasst, dass alle verwendeten Schlüssel gleich an einem Dir nicht ersichtlichen Ort gespeichert werden?

Um die Schlüsselvariante wirklich sicher zu machen darfst Du diesen eben nicht überall verwenden.

Mir reicht mein Passwort und ich mag die Flexibilität die damit einhergeht. Meinen Kopf habe ich schliesslich immer dabei. :-)

Du Glücklicher....

...

Im Endeffekt ist es mal wieder oersönliches gusto ob man ein Passwort, Schlüssel, Port-Knocking etc. verwendet.

ja... "schönes Passwort" ist immer gut... es darf auch ganz einfach und gaaanz logisch sein (!).. solange die Logik sich nicht für andere erschliesst... Ich höre gerne den Gegenbeweis... als User auf ein Gatewayrechner...und dann weiter... unterschiedliche Namen/Passwörter sollte reichen. Ich habe in meinem Leben schon genug Schlüssel verloren (die Dinger aus Messing...) bei USB-Sticks ist es nur eine Frage der Zeit..

...

MfG Marco

Aber wie oben.. wirklich sicher ist relativ....andererseits.... solange genügend Deppen im Netz sind, die mal schnell jede zweite EXE starten..und jede Demo-CD ausprobieren müssen (weil an Ihrem Zimmer CHEF steht...).. muss man es nicht wirklich übertreiben! und scannen .. ach ja... erst mal muss der Scanner einen gültigen Port und einen gültigen User rauskriegen (root geht ja nicht...) und dann ein Passwort dazu finden ..und dann das ganze Spiel nochmal um auf einen "richtigen"Rechner zu kommen... Da ist es einfacher - physisch an den Rechner zu kommen... Grüsse Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Kyek, Andreas, VF-DE

05:53

Steffen Genkinger wrote:

...

Das Tastaturgeklapper von Marcus Roeckrath, am 09.02.2008 16:14 lautete:

...
Wozu brauchst Du ssh? Nur für den internen Gebrauch oder willst Du Dich auch selbst von aussen einloggen?

Im ersten Fall würde ich den Port 22 für von aussen kommende Verbindungen schliessen. Es ist ganz praktisch, wenn ich auswärts bei Muttern oder Schwestern bin und mir dann auch mal kurzfristig was holen kann. Anstatt externe HD oder CD brennen schieb ich einiges an Daten per scp durch die Gegend. Das möchte ich eigentlich nicht missen. Und dann möchte ich zumindest die Möglichkeit haben, per SSH (oder NX) im Notfall Fernwartung betreiben zu können.

Verwendest Du selbst Password-Login? Dann denke mal über Key-Login nach.

Das mit dem Key-Login lief bisher unter dem Motto: Mal in Angriff nehmen, wenn ich Zeit habe. Aber es bekommt nun glaub ich Prio 1.

a) key-login ist PFLICHT; password login bitte komplett disablen! b) Du benutzt ja eine Fritz Box: Was spricht dagegen, von aussen einen exotischen Port (45678) anzusprechen, den die Fritz dann an deinen Rechner Port 22 weiterleitet und NICHT den Port 22 durchzureichen? Damit hast Du IMO 99% der Skript-Kiddies bereits erfolgreich ausgebremst. Einziger Nachteil: Du musst dann bei Verbindungen von aussen gezielt den "hohen" Port ansprechen, wenn du ssh oder scp nutzen willst. Das geht aber ansonsten einwandfrei. Und wie gesagt: Kein root-login via ssh, kein password logins; dann den sshd aktuell halten (security updates) und du bist eigentlich ganz gut gewappnet. Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Manfred Kreisl

10:21

Kyek, Andreas, VF-DE schrieb:

...

...
Key-Login nach. Das mit dem Key-Login lief bisher unter dem Motto: Mal in Angriff nehmen, wenn ich Zeit habe. Aber es bekommt nun glaub ich Prio 1.

a) key-login ist PFLICHT; password login bitte komplett disablen! Dazu hätte ich mal eine Frage: Ich kann das leider nicht mehr so einstellen, da ich sonst über NX nicht mehr auf den Rechner komme. Hat jemand eine Ahnung, wie man NX das auch beibringen kann?

Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Andre Tann

10:46

Manfred Kreisl, Montag, 11. Februar 2008 11:21:

...

Dazu hätte ich mal eine Frage: Ich kann das leider nicht mehr so einstellen, da ich sonst über NX nicht mehr auf den Rechner komme. Hat jemand eine Ahnung, wie man NX das auch beibringen kann?

_Das_ würde mich auch interessieren. Derzeit habe ich das so gelöst, daß der NX-Zielrechner nicht direkt ansprechbar ist. Vielmehr sitzt von dem NX-Rechner ein weiterer Server. Auf diesen kommt man nur mit Key, und so baue ich eben einen Tunnel von außen (geht auch mit Putty) durch diesen Server hindurch auf die NX-Maschine. So habe ich erreicht, daß der aus dem Netz sichtbare Rechner nur mit Keys geht, und die NX-Maschine ist trotzdem erreichbar. Um Platz/Strom zu sparen könntest Du auch den vorgelagerten Server in eine vmware packen und auf dem Zielrechner laufen lassen, der ja sowieso eingeschaltet bleiben muß. Dann hast Du fast den gleichen Effekt. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Manfred Kreisl

23:24

Andre Tann schrieb:

...

Manfred Kreisl, Montag, 11. Februar 2008 11:21:

...
Dazu hätte ich mal eine Frage: Ich kann das leider nicht mehr so einstellen, da ich sonst über NX nicht mehr auf den Rechner komme. Hat jemand eine Ahnung, wie man NX das auch beibringen kann?

_Das_ würde mich auch interessieren. Derzeit habe ich das so gelöst, daß der NX-Zielrechner nicht direkt ansprechbar ist. Vielmehr sitzt von dem NX-Rechner ein weiterer Server. Auf diesen kommt man nur mit Key, und so baue ich eben einen Tunnel von außen (geht auch mit Putty) durch diesen Server hindurch auf die NX-Maschine.

So habe ich erreicht, daß der aus dem Netz sichtbare Rechner nur mit Keys geht, und die NX-Maschine ist trotzdem erreichbar. Um Platz/Strom zu sparen könntest Du auch den vorgelagerten Server in eine vmware packen und auf dem Zielrechner laufen lassen, der ja sowieso eingeschaltet bleiben muß. Dann hast Du fast den gleichen Effekt.

Hmmhmmm, klingt ja recht aufwendig. Mich hat nun doch der Ehrgeiz gepackt und mich mal an die Problemlösung gemacht, und siehe da - es funktioniert. Ausgehend von diesem Artikel http://www.nomachine.com/ar/view.php?ar_id=AR02C00150 ist folgendes zu tun: In der /usr/NX/etc/server.cfg müssen die Parameter EnableUserDB = "1" EnablePasswordDB = "1" gesetzt werden (default ist jeweils 0). Nur so authentifiziert sich NX nicht über PAM Dann die bereits existierenden User löschen (nxserver --userdel ...) und wieder anlegen (nxserver --useradd ...), damit die User/Passwörter auch in die Datenbank eingetragen werden. Und voila, keine Passwortauthentifizierung mehr bei SSH erforderlich. Hat allerdings den Nachteil, dass man schon wieder eine weitere User/Passwort Verwaltung pflegen muss. Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Steffen Genkinger

13 Feb 13 Feb

18:22

Das Tastaturgeklapper von Kyek, Andreas, VF-DE, am 11.02.2008 06:53 lautete:

...

a) key-login ist PFLICHT; password login bitte komplett disablen!

Also, ich habe mich heute mal ein Weilchen in der Firma mit unserem externen Beaufragten für Netzwerksicherheit unterhalten. Er betreut mehrere Firmen sowei Städte und Gemeinden und ich war jetzt doch auch überrascht, als er mir gesagt hat, dass er eigentlich alles über ssh + PW login macht. Ein sicheres PW sollte reichen. Einen Einbruch konnte er bis dato noch nicht verzeichnen.

...

b) Du benutzt ja eine Fritz Box: Was spricht dagegen, von aussen einen exotischen Port (45678) anzusprechen, den die Fritz dann an deinen Rechner Port 22 weiterleitet und NICHT den Port 22 durchzureichen? Damit hast Du IMO 99% der Skript-Kiddies bereits erfolgreich ausgebremst.

Dagegen spricht nichts. Ist wenig Aufwand und das Rauschen sollte dann tatsächlich weg sein. Oder evtl. noch das vorgeschlagene fail2ban.

...

Einziger Nachteil: Du musst dann bei Verbindungen von aussen gezielt den "hohen" Port ansprechen, wenn du ssh oder scp nutzen willst. Das geht aber ansonsten einwandfrei.

Eine function im .bashrc-file und damit hat es sich. Ich arbeite eh nur mit drei Rechnern. Da kann man das noch spezifizieren. Und die Geschichte mit dem NX-Server hat sich ja glücklicherweise auch geklärt.

...

Und wie gesagt: Kein root-login via ssh, kein password logins; dann den sshd aktuell halten (security updates) und du bist eigentlich ganz gut gewappnet.

Gruß Steffen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Heinz Diehl

18:32

On Wed, Feb 13, 2008 at 07:22:04PM +0100, Steffen Genkinger wrote:

...

...dass er eigentlich alles über ssh + PW login macht. Ein sicheres PW sollte reichen. Einen Einbruch konnte er bis dato noch nicht verzeichnen.

Wenn das Passwort lang genug ist, und nicht mit einem dictionary Angriff gefunden werden kann, dann ist das primaer ok, ABER: ein Passwort auszuspaehen/zu loggen ist immer noch erheblich einfacher, als einen entsprechenden Key zu stehlen. Auch wenn das Passwort zum key loggbar ist, erst muss jemand im Besitz des Keys sein. Deswegen: kein login via Passwort. Ist meine Devise. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Martin Schröder

21:35

Am 13.02.08 schrieb Steffen Genkinger :

...

Das Tastaturgeklapper von Kyek, Andreas, VF-DE, am 11.02.2008 06:53 lautete:

...
Einziger Nachteil: Du musst dann bei Verbindungen von aussen gezielt den "hohen" Port ansprechen, wenn du ssh oder scp nutzen willst. Das geht aber ansonsten einwandfrei.

Eine function im .bashrc-file und damit hat es sich. Ich arbeite eh nur mit drei Rechnern. Da kann man das noch spezifizieren. Und die Geschichte mit dem NX-Server hat sich ja glücklicherweise auch geklärt.

.bashrc? .ssh/config. man ssh_config :-) Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Andre Tann

11 Feb 11 Feb

22:11

Was mich jetzt nach all der Diskussion noch interessieren würde: gibts hier jemand, dessen sshd schon mal gehackt worden wäre? Wenn ja, würden mich nähere Details interessieren. Denn die Frage, die im Raum steht, ist doch die: ist ein sshd, der nur mit Keys oder alternativ mit sehr langen und sicheren Paßwörtern betrieben wird, überwindbar? Steffen Genkinger, Samstag, 9. Februar 2008 08:43:

...

Hallo zusammen,

ich schau mir gerade mein /var/log/messages an und stelle fest, dass die Datei so langsam voll läuft:

---- schnipp ---- Feb 9 08:33:26 terra sshd[21452]: Invalid user student from 121.140.91.106 Feb 9 08:33:30 terra sshd[21455]: Invalid user guest from 116.125.60.214 Feb 9 08:33:32 terra sshd[21457]: Invalid user student from 121.140.91.106 Feb 9 08:33:36 terra sshd[21459]: Invalid user guest from 116.125.60.214 Feb 9 08:33:40 terra sshd[21461]: Invalid user student from 121.140.91.106 Feb 9 08:33:42 terra sshd[21463]: Invalid user guest from 116.125.60.214 Feb 9 08:33:47 terra sshd[21465]: Invalid user student from 121.140.91.106 --- schnapp ----

Im Abstand von 4-6 sec gibt es nun seit heut nacht Verbindungsversuche auf meine Maschine. Kann ich mich irgendwie dagegen wehren oder muss ich das einfach hinnehmen und zur Erhöhung der Sicherheit evtl. den SSH-Port verlegen? Auch wenn ich der SSH-Geschichte eigentlich vertraue finde ich das nicht sonderlich prickelnd.

Grüße Steffen

-- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Marco Roeben

12 Feb 12 Feb

08:08

On Montag, 11. Februar 2008, Andre Tann wrote:

...

Was mich jetzt nach all der Diskussion noch interessieren würde: gibts hier jemand, dessen sshd schon mal gehackt worden wäre? Wenn ja, würden mich nähere Details interessieren.

Denn die Frage, die im Raum steht, ist doch die: ist ein sshd, der nur mit Keys oder alternativ mit sehr langen und sicheren Paßwörtern betrieben wird, überwindbar?

Ich denke, dass es sich hier hauptsächlich um eine akademische Frage handelt. :-) MfG Marco

Fred Ockert

09:57

Andre Tann schrieb:

...

Was mich jetzt nach all der Diskussion noch interessieren würde: gibts hier jemand, dessen sshd schon mal gehackt worden wäre? Wenn ja, würden mich nähere Details interessieren.

Denn die Frage, die im Raum steht, ist doch die: ist ein sshd, der nur mit Keys oder alternativ mit sehr langen und sicheren Paßwörtern betrieben wird, überwindbar?

was für eine Frage - na klar "problemlos überwindbar" bloss eben... in welchem Jahr ? bei der gegenwärtigen Prognose des Rechenleistungszuwachses werden es wohl die wenigsten vor ihrer Rente erleben. Ansonsten: vor kurzem war ein Wettbewerb Enigma-Codes knacken! Daran - wo sich damals Heerschaaren von Mathematikern versucht haben - ohne Erfolg (erfolgreich erst mit dem know-how der Maschine ) hat in diesem Jahr ein üblicher PC im Minutenbereich decodiert.... Über die Sicherheit von 40..50 Bit langen Schlüsseln redet heute keiner mehr... und was wir heute verwenden werden unsere Nachfahren auch nur als eine "Abart von einem Dietrich" ansehen... zu oben ssh gehackt ... eher die Frage: welche Schlüssel verwendest du ? alles eine Frage von Zeit und Rechenleistung....wieviel Jahre würden dir reichen ? und wieviele Rechner kannst du clustern ? 2048-Bit-Schlüsselergebnisse siehst du (mit heutiger Technik) in diesem Leben nicht mehr! Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Andre Tann

10:44

Fred Ockert, Dienstag, 12. Februar 2008 10:57:

...

was für eine Frage - na klar "problemlos überwindbar" bloss eben... in welchem Jahr ? bei der gegenwärtigen Prognose des Rechenleistungszuwachses werden es wohl die wenigsten vor ihrer Rente erleben. [...] zu oben ssh gehackt ... eher die Frage: welche Schlüssel verwendest du ? alles eine Frage von Zeit und Rechenleistung....wieviel Jahre würden dir reichen ? und wieviele Rechner kannst du clustern ? 2048-Bit-Schlüsselergebnisse siehst du (mit heutiger Technik) in diesem Leben nicht mehr!

Du gehst in alledem davon aus, daß im Code keine Schwachstelle steckt. Falls das so ist, und also der Schlüssel die schwächste Stelle ist, dann ist meine Frage obsolet, da gebe ich Dir recht. Was aber, wenn der Code nicht ganz einwandfrei ist? sshv1 war ja zB so ein Fall. Und damals hätte man ja auch schon argumentieren können: Hey 2048 Bit ist voll super. Niemand knackt das Vorhängeschloß an einer Plastiktüte. Wozu also den Key per brute force knacken, wenn der sshd selbst die Schwachstelle ist? Davon abgesehen: Was meinst Du mit "2048-Bit-Schlüsselergebnisse"? Einen Key mit 2048 Bit ist leichter zu brute-forcen, als die Sequenz von 2048 Bit zu erraten, sprich: 2^2048 = 10^616 Versuche zu unternehmen. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Fred Ockert

13 Feb 13 Feb

06:53

Andre Tann schrieb:

...

Fred Ockert, Dienstag, 12. Februar 2008 10:57:

...
was für eine Frage - na klar "problemlos überwindbar" bloss eben... in welchem Jahr ? bei der gegenwärtigen Prognose des Rechenleistungszuwachses werden es wohl die wenigsten vor ihrer Rente erleben. [...] zu oben ssh gehackt ... eher die Frage: welche Schlüssel verwendest du ? alles eine Frage von Zeit und Rechenleistung....wieviel Jahre würden dir reichen ? und wieviele Rechner kannst du clustern ? 2048-Bit-Schlüsselergebnisse siehst du (mit heutiger Technik) in diesem Leben nicht mehr!

Du gehst in alledem davon aus, daß im Code keine Schwachstelle steckt. Falls das so ist, und also der Schlüssel die schwächste Stelle ist, dann ist meine Frage obsolet, da gebe ich Dir recht.

ganz im Gegentum ... ich setze aber stillschweigend voraus, dass du (und auch andere) in der Lage sind, die Fehlerpatches in relativ kurzer Zeit einzuspielen...(also Tage..) nicht Monate/Jahre.. alle gekaperten Systeme hatte immer das Problem, dass lange bekannte "Löcher" nicht geschlossen wurden...(und lange meint hier fast immer Monate..)

...

Was aber, wenn der Code nicht ganz einwandfrei ist? sshv1 war ja zB so ein Fall. Und damals hätte man ja auch schon argumentieren können: Hey 2048 Bit ist voll super. Niemand knackt das Vorhängeschloß an einer Plastiktüte. Wozu also den Key per brute force knacken, wenn der sshd selbst die Schwachstelle ist?

Der Code enthält mindestens einen Fehler mehr, als du dir vorstellen kannst...

...

Davon abgesehen: Was meinst Du mit "2048-Bit-Schlüsselergebnisse"? Einen Key mit 2048 Bit ist leichter zu brute-forcen, als die Sequenz von 2048 Bit zu erraten, sprich: 2^2048 = 10^616 Versuche zu unternehmen.

hier hatte ich (zu fix?) Schlüsselergebnisse mit = Ergebnis (Originaltext) gemeint... wenn dir also einer deinen 2048-verschluesselten Text in der Ursprungsform auf den Tisch legt, ohne dass er den Schlüssel dazu kennt... hmmm ... absolute Sicherheit ?? fällt mit nur Albert Einstein ein: (sinngemäss) "Das Universum und die menschliche Dummheit sind unendlich.... wobei ich mit bei dem Universum nicht ganz sicher bin...." Grüsse Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

M. Skiba

12 Feb 12 Feb

14:31

Am Montag, 11. Februar 2008 23:11:14 schrieb Andre Tann:

...

Denn die Frage, die im Raum steht, ist doch die: ist ein sshd, der nur mit Keys oder alternativ mit sehr langen und sicheren Paßwörtern betrieben wird, überwindbar? SSHd Version 1 has some weaknessses, so it's recommended to use version 2. Unfortunately many default sshd configurations still allow to use version 1 - ain't that right?

Greetings Michael

5923

Age (days ago)

5929

Last active (days ago)

List overview

Download

52 comments

22 participants

participants (22)

Andre Tann
Andreas Kyek
Axel Birndt
Fred Ockert
hamann.w＠t-online.de
Heinz Diehl
Juergen Langowski
Klaus Rehberg
Kyek, Andreas, VF-DE
M. Skiba
Manfred Kreisl
Marco Roeben
Marcus Roeckrath
Martin Schröder
Michael Raab
Oliver Block
Peter J. P-N
Roman Fietze
Sandy Drobic
Sebastian Kolbe
Steffen Genkinger
Thomas Trueten