title image


Smiley Re: Hülfe, mein PC ist vielleicht nicht sicher
Ich erzähl Dir jetzt was.



Letztens in meinem Dunstkreis.



Fremdfirma setzt Webserver auf + SSH-Zugang, um die Kiste zu warten. Einfaches Passwort auf der Konsole, root-Zugang per SSH erlaubt.

Auf einmal Mails von Administratoren fremder Netze/Server. Wollte die erst kicken ("der übliche Spam") aber bei genauerer Betrachtung wurde mir die Reichweite bewusst.

Jemand hatte dieses Konsolenpasswort dieses Servers geknackt (über SSH) und auf der Kiste root-Zugriff erlangt. Damit hat er lustig (aber erfolglos) versucht, ein bisschen rumzu-ssh-en. Zum Glück war der Server schön in der DMZ eingesperrt und der Bösling war offensichtlich ein Trottel (bis aufs Passwortprobieren, war nicht allzu schwer).



Was solltest Du daraus lernen?



Dienste, die man freischaltet, werden NICHT durch eine Firewall (sprich: Paketfilter) geschützt. Das ist gewollte Kommunikation. Wenn man dies nicht möchte, muss man den Diest abschalten. Jeder gewollte Kommunikationskanal ist auch eine potentielle Sicherheitslücke.



Speziell zu SSH:



Den SSH-Zugang begrenzen! Es darf sich keiner als root/administrator an der Maschine über SSH anmelden dürfen. Mache einen eingeschränkten Useraccount, den gibst Du in SSH frei (nur dieser Nutzer darf sich anmelden). root-Rechte werden sich erst nach erfolgreichem Einloggen geholt, wenn benötigt. Dann wird das root-Passwort abgefragt, was der Angreifer dann auch noch knacken müsste.



Anmeldezeit (Zeit bis zum erfolgreichen Login begrenzen). Anmeldungen auf dem Server begrenzen. Bei Linux steht alles in /etc/ssh/sshd.conf (o.ä. - je nach Distri).



Passwörter komplex wählen! Sowas wie "elster" oder "schnuffi" ist kein Passwort! Ein Passwort sieht so aus: "d6)§hTj!". Viel Spass bei der Wörterbuchattacke. Mindestens 6 Zeichen, mehr ist besser. Passwörter sind Geheimnisse!



Besser: SSH bietet Public-Key-Authentifizierung - Keys erstellen, fertig. Die privaten Keys sind Geheimnisse! Werden aber nie übers Netz übertragen.

Anleitung dazu findest Du zuhauf im Internet.



Das SSH-Port ist immer offen, denn Du willst es ja nutzen. Du kannst das Standardport auch ändern in Port 10000 z.Bsp., dann wirds schon etwas schwieriger.



Entscheidend sind zwei Sachen:



Der ssh-Dienst darf keinen Fehler enthalten, der ihn angreifbar macht (Bufferüberläufe oder andere Sicherheitslücken). Darum den Dienst immer aktuell halten.



Nutze eine starke Authentifizierung, damit das Login über SSH nur Du vollziehen kannst. Das Public-Key-Verfahren ist die z.Z. beste Methode und wird es gewiss noch einige Zeit bleiben (bis zum Quantencomputer, dann werden wir mit verschränkten Atomen arbeiten müssen).



Mit Firewall im Sinne von Paketfilter hat das nichts zu tun, wohl eher mit der Firewall im Sinne eines Sicherheitskonzeptes.



Michael



PS: Mittlerweile ist der Server neu aufgesetzt und SSH in meiner Hand - da kommen nur noch drei Personen drauf und ein root-Login ist schon garnicht möglich. Natürlich steht das Port xx TCP mit SSH jedem offen, aber es wird sich niemand weiteres erfolgreich authentifizieren können und damit nicht auf den Server kommen.




--
Danke im voraus! - Bitte, verehrte Hilfesuchende, bedankt euch NACH erfolgter Hilfe mit einem kurzem Statement, ob der Tipp auch geholfen hat. Keiner weiß sonst, ob der Tipp "gewirkt" hat und es ist auch unhöflich, sich DANACH nicht zu bedanken.
Daher ist die Floskel "Danke im voraus!" auch völlig überflüssig.
--

geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: