|
Alles rund um Mac OSX & Linux: Wie sichere ich mein sshd ab?Windows 7 Für alle Fragen rund um Mac OSX, Linux und andere Unix-Derivate. |
17.06.2007, 23:04 | #1 |
| Wie sichere ich mein sshd ab? Hallo! Seit einiger Zeit spammen mir zweimal die Woche irgendwelche Leute den syslog zu, indem sie ca. 2 Stunden lang versuchen einen Benutzernamen aus einer Liste zu erwischen und sich damit anzumelden. Kann ich irgendwie erreichen, dass eine IP nach ca. 3 Fehlversuchen für ein paar Stunden auf dem ssh Port gesperrt wird? MfG Konstantin |
18.06.2007, 19:10 | #2 |
Moderator, a.D. | Wie sichere ich mein sshd ab?__________________ |
17.09.2007, 18:28 | #3 |
| Wie sichere ich mein sshd ab? Hier mal die Kopie einer Anleitung, welche ich vor langer Zeit in einem Forum eines Providers gepostet habe (ist aber immer noch gültig). In der Anleitung geht es darum, wie man sich als normaler User über Key Authentication einloggt, was sicherer ist als eine normale Anmeldung mittels Passwort.
__________________Hier eine Anleitung (für Debian) wie es geht. Den hier genannten user BENUTZER ersetze durch einen von dir benutzen User. Lies dir erstmal alles einmal durch, bevor du beginnst, falls was unklar ist stell die Fragen bevor du beginnst, sonst sperrst du dich am Ende noch selbst aus. 1. Putty hast du ja schon, hol dir erstmal ebenfalls puttygen und starte es. 2. Bei "Typ of key to generate" stell auf SSH-2-DSA. Die Bit Anzahl darunter kannst du wenn du willst auf 2048 erhöhen. 3. Klick jetzt auf "Generate" und fahr mit der Maus vollkommen planlos über die große leere Fläche. 4. Sind die Keys fertig erstellt gib bei "Key passphrase" bzw. darunter nocheinmal ein möglichst langes Passwort ein. Speichere jetzt sowohl den öffentlichen als auch den privaten Schlüssel durch klicken auf "Save public key" und "Save private key". Schließe puttygen noch nicht !!! 5. Logg dich jetzt über SSH auf den Server als BENUTZER ein. 6. Erstelle im Home Verzeichnis von BENUTZER folgende Ordner: Code: cd /home/BENUTZER mkdir .ssh 7. Kopier den Inhalt von "Public key for pasting into OpenSSH authorized_keys" jetzt nach .ssh/authorized_keys: Code: nano -w .ssh/authorized_keys Das -w nicht vergessen! Den in die Zwischenablage kopierten Inhalt von puttygen fügst du in den Editor ganz einfach durch Rechstklicken ins Putty Fenster ein. Mit Strg+X und Enter Drücken speicherst du das File. Wenn du einen anderen Editor als nano verwendest stelle sicher, dass die reinkopierten Daten in einer Zeile stehen, also nicht umgebrochen werden. Bei nano gibts dafür den Parameter -w. 8. Wenn du willst kannst du puttygen jetzt beenden, Putty bleibt weiter verbunden. 9. Werde root. 10. Stelle in /etc/ssh/sshd_config folgende Sachen ein/um: Dreh den root Login ab: Code: PermitRootLogin no Nur Protokoll SSH2 verwenden: Code: Protocol 2 Passwort Anmeldung abdrehen: Code: PasswordAuthentication no Key Anmeldung einschalten: Code: PubkeyAuthentication yes Login muss innerhalb von 30 Sekunden erfolgen, danach beendet ssh die Verbindung: Code: LoginGraceTime 30 Nur ein User gleichzeitig, kannst du nach Wunsch auch erhöhen: Code: MaxStartups 1 Erlaube nur den Login von BENUTZER: Code: AllowUsers BENUTZER UsePrivilegeSeparation yes StrictModes yes Wenn man mehrere User erlauben will einfach mit Leerzeichen getrennt auflisten: Code: AllowUsers BENUTZER1 BENUTZER2 BENUTZER3 UsePrivilegeSeparation yes StrictModes yes Hierbei nicht die "MaxStartups" Option vergessen, wenn sich alle angeführten User gleichzeitig via SSH einloggen können sollen muss die Zahl nach "MaxStartups" der Anzahl der aufgelisteten User entsprechen. Alle anderen Anmeldeverfahren deaktivieren wir. ACHTUNG: Such bitte in deiner sshd_config nach den aufgeführten Verfahren, es kann sein, dass dein ssh nicht alle unterstützt und dann startet ssh nicht wenn er welche nicht kennt. Ändere also nur die jeweiligen Zeilen, was nicht da ist füg auch nicht ein. Einiges wird auskommentiert sein, entferne das # um die Deaktivierung sicherzustellen. Code: RSAAuthentication no IgnoreRhosts yes RhostsRSAAuthentication no HostbasedAuthentication no IgnoreUserKnownHosts yes ChallengeResponseAuthentication no Leere Passwörter wollen wir nicht: Code: PermitEmptyPasswords no Ändere den Port auf dem SSH läuft auf einen beliebigen anderen (also nimm was anderes als die hier genannte Nummer *g*): Code: Port 3489 11. Speichere sshd_config. PUTTY NICHT SCHLIEßEN! 12. Starte ssh neu: Code: /etc/init.d/ssh restart Deine jetzige ssh Session läuft trotzdem weiter, PUTTY NICHT SCHLIEßEN! Wenn es Fehler in der sshd_config gibt werden diese gemeldet. 13. Starte Putty ein zweites Mal, DIE BEREITS OFFENE PUTTY-SESSION NICHT SCHLIEßEN! 14. In Putty folgendes einstellen: - Host Name (or IP address): Deine Server IP (eh klar *g*) - Den vorher selbst gewählten Port eintragen - Unter SSH-Auth wählst du bei "Private key file for authentication" den vorher gespeicherten Private Key (Punkt 4) aus. 15. Damit du das Ganze nicht jedes mal neu eingeben musst, empfehle ich diese Einstellungen zu speichern. Dazu gib im Textfeld unter "Saved Sessions" einen Namen deiner Wahl an und klick auf Save. Wenn du später connecten willst musst du nur auf den von dir angegebenen Sessionnamen in dem Listenfeld doppelklicken. 16. Klick auf "Open" zum Verbinden bzw. doppelklicke auf den Sessionname (Punkt 15). Als Benutzer gibts du BENUTZER ein, als Passwort muss du das Passwort nehmen, welches du vorher in Puttygen eingegeben hast (Punkt 4). Wenn alles geklappt hat bist du jetzt eingeloggt und kannst die andere Putty Session schließen. Wenn es nicht klappt hast du noch die andere offen um den Fehler zu beheben, daher die vielen "PUTTY NICHT ...", damit du dich nicht aussperrst. X. Warum ist das Ganze jetzt sicherer? Ganz einfach, weil jetzt keine Passwörter mehr übertragen werden, um sich einzuloggen braucht man die Files, die du auf deine Festplatte gespeichert hast, ohne die kommt man nicht rein. Achte also darauf, dass du sie nicht verlierst oder an andere weitergibst. |
Themen zu Wie sichere ich mein sshd ab? |
anti, benutzer, benutzername, benutzernamen, einiger, erreiche, gesperrt, leute, liste, port, sichere, stunde, stunden, versuche, woche, zweimal |