Linkdump 25/2015 ...
Das Wetter ist ja schlecht, hiermit könnt Ihr es überbrücken.
Ein sehr gutes Interview - schon etwas älter - mit einem meiner Aikido-Lehrer, keine Angst, es geht nicht um den Kampfsport: «Wenn die Motivation stimmt, ist (fast) alles möglich».
Wie mir diese 3 Regeln dabei halfen, meinen Frieden mit Facebook zu schließen, kann ich sehr gut nachvollziehen. Je nach Umfeld kommt man kaum darum herum.
Sehr schön, über den Rucksack, Alter Sack, neuer Geist.
Wir Deutschen werden dumm synchronisiert - dazu brauche ich nicht mehr zu sagen, ausser: Stimmt!
Achtung, Captain Obvious wurde gesichtet, interessanter ist allerdings, dass es anscheinend keine Idee für den eigenen Karriereweg mehr gibt. Gar kein Ziel zu haben, ist auch doof. Generation Y nutzt Xing kaum für Karriere.
Why it took us so long to match Apple on privacy, interesting insights into Android.
You should have it better than us ... How my father gave me a terrifying lesson at 10.
Why putting SSH on another port than 22 is bad idea, I can not agree more.
Diese Welt ist irgendwie krank, sehr krank, ja, auch die westlichen Staaten (um die geht es hier allerdings nicht), 1000 Stockhiebe.
"Wir haben Fehler in Europa gemacht". Google ist nicht das erste Unternehmen, das dachte, dass Europa genauso funktioniert wie Amerika.
Oh, ich kenne die verschiedenen Typen, sehr treffend beschrieben, Wer die Wahl hat, hat noch lange keinen Hundetrainer!
Ein Abkommen gegen Open Source - soweit würde ich nicht gehen. Wir tendieren zu vergessen, dass Wahlfreiheit auch bedeutet, sich für das falsche entscheiden zu können.
Ein sehr gutes Interview - schon etwas älter - mit einem meiner Aikido-Lehrer, keine Angst, es geht nicht um den Kampfsport: «Wenn die Motivation stimmt, ist (fast) alles möglich».
Wie mir diese 3 Regeln dabei halfen, meinen Frieden mit Facebook zu schließen, kann ich sehr gut nachvollziehen. Je nach Umfeld kommt man kaum darum herum.
Sehr schön, über den Rucksack, Alter Sack, neuer Geist.
Wir Deutschen werden dumm synchronisiert - dazu brauche ich nicht mehr zu sagen, ausser: Stimmt!
Achtung, Captain Obvious wurde gesichtet, interessanter ist allerdings, dass es anscheinend keine Idee für den eigenen Karriereweg mehr gibt. Gar kein Ziel zu haben, ist auch doof. Generation Y nutzt Xing kaum für Karriere.
Why it took us so long to match Apple on privacy, interesting insights into Android.
You should have it better than us ... How my father gave me a terrifying lesson at 10.
Why putting SSH on another port than 22 is bad idea, I can not agree more.
Diese Welt ist irgendwie krank, sehr krank, ja, auch die westlichen Staaten (um die geht es hier allerdings nicht), 1000 Stockhiebe.
"Wir haben Fehler in Europa gemacht". Google ist nicht das erste Unternehmen, das dachte, dass Europa genauso funktioniert wie Amerika.
Oh, ich kenne die verschiedenen Typen, sehr treffend beschrieben, Wer die Wahl hat, hat noch lange keinen Hundetrainer!
Ein Abkommen gegen Open Source - soweit würde ich nicht gehen. Wir tendieren zu vergessen, dass Wahlfreiheit auch bedeutet, sich für das falsche entscheiden zu können.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Jens Kubieziel am :
Ich ändere den port, weil ich weniger Rauschen in den Logs will. Wenn immer es geht, binde ich den Dienst an den localhost.
edik am :
Weißt du, wie solche auf anderen Ports laufende SSH-Dienste als solche erkannt werden oder kannst du konkrete Tools nennen? Derartiges zuverlaessig zu implementieren, stelle ich mir naemlich schwierig vor. Mir fallen da nur regelmaeßige Verbindungsversuche zu allen offenen Ports ein. Doch der boese SSH-Dienst koennte sich ja auch vor solchen Scannern verstecken.
Dirk Deimeke am :
Was ich mache, wenn mir zwei IP-Adressen zur Verfügung stehen, ist, die öffentlichen Dienste auf der einen IP-Adresse laufen zu lassen und SSH auf der anderen. Das wirkt Wunder. Erweiterbar ist es auch, in dem man nur noch Zugriff von Jumphosts zulässt, aber das war bis jetzt nicht nötig.
Ich betreibe nun schon einige Jahre Server mit SSH unter Linux und ausser Log-Einträgen, die vielleicht nerven könnten, ist noch nichts passiert.
Dirk Deimeke am :
-thh am :
Ja, und genau wegen dieser nervenden Logeinträge verlege ich SSH immer auf einen non-standard-Port (sinnvollerweise allerdings mittlerweile < 1024, das hatte ich anfangs nicht bedacht). Das schadet nichts, und es kommen selten bis nie (ich erinnere mich aus den letzten 10 Jahren an genau einen Fall) die üblichen Testläufe mit ausprobierten Accountnamen vor. Die üblichen Verdächtigen scannen nämlich nicht mit nmap, sondern beschränken sich auf die ungezählten Maschinen mit SSH auf Port 22.
Natürlich ist das Verlegen des sshd keine Schutzmaßnahme und unwirksam gegen einen gezielteren Angriff oder auch nur das Scannen typischer Mietserver-IP-Bereiche (der genannte eine Fall betraf binnen kurzer Frist verschiedene Server beim selben Anbieter). Natürlich nutzt man daneben Maßnahmen wie fail2ban und/oder Abschaltung von Anmeldung per Passwort zugunsten von SSH-Keys pp., aber das spricht ja nicht gegen die Verlegung des sshd. Und simpler als Port Knocking ist das allemal.
Jens Kubieziel am :
Jens Kubieziel am :
Nach meiner Erfahrung dauert das Scannen der kompletten Portrange mehrere Minuten mit nmap (oder nutze ich vllt. die fchalsen Optionen?).
Dirk Deimeke am :
Das Argument mit den weniger vollen Logdateien kann ich nachvollziehen, aber als einziger Grund ist es für mich wenig überzeugend.
Dirk Deimeke am :
Danke für die Erklärung!
Dirk Deimeke am :
13:04:24 [dirk@moas:~] $ sudo nmap -sS -T 5 -p 1-65535 -sV example.org
[sudo] password for dirk:
Starting Nmap 6.40 ( http://nmap.org ) at 2015-06-20 13:05 CEST
Nmap scan report for example.org (1.2.3.4)
Host is up (0.010s latency).
Not shown: 65532 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http nginx
443/tcp open http nginx
25800/tcp open ssh OpenSSH 6.4 (protocol 2.0)
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 60.68 seconds
Dirk Deimeke am :
Jens Kubieziel am :
Nmap done: 1 IP address (1 host up) scanned in 900.55 seconds
Ich brauche also eine schnellere Leitung.
edik am :
Dirk Deimeke am :
edik am :
Mir ging es ja um Jens's Satz "Wenn jemand SSH auf einem anderen Port startet, erhält man eine Meldung".
Dirk Deimeke am :
Jens Kubieziel am :
Ich gehe erstmal davon aus, dass der Original-Daemon dauerhaft läuft. Da fragt man sich, wie es der Nutzer schaft, den zu verdrängen. Wenn er es dann irgendwie geschafft hat und einen anderen Dienst startet, so bringt der Verbindeversuch au Nutzerseite eine Meldung, dass der Schlüssel cfhlas ist. Wenn auch der Nutzer es schafft, die Schlüssel auf dem Rechner auszulesen (und den SSHd zu beenden), hat man vermutlich ganz andere Probleme als der Port, der verlegt ist.
Also insgesamt finde ich das Szenario, dass ein User auf dem Port, wo sonst regulär der SSHd läuft, etwas gewagt.
Dirk Deimeke am :
edik am :
Ein weiterer Angriffspunkt waere der Reboot des ganzen Servers. Bei der Vielzahl an einsetzbaren Softwarekombinationen koennte doch manchmal die Moeglichkeit bestehen, dass beim Booten ein Non-Root-User noch vor dem Start des SSHd's dessen Port belegen kann. Oder vielleicht ist auch manchmal es eine Sache von Zufall, ob der SSHd oder die Malware zuerst startet.
Klar, alle diese Angriffe sind nicht ganz trivial. Trotzdem sind sie machbar. Wuerde man diese Probleme nicht an ihrer Wurzel packen, muesste man darum nach jedem Neustart des SSHd's pruefen, ob der Port nicht gekapert wurde. Man muesste außerdem gewaehrleisten, dass beim Serverboot der SSHd in jedem Fall gestartet wird, bevor ein normale User Programme starten kann. Und vielleicht gibt es noch Dinge, die man beachten muss, auf die man aber nicht gekommen ist. In meinen Augen ist das unnoetige Komplexitaet und kein sicheres Fundament.
Und sicher, das scheint erst gefaehrlich zu werden, wenn Public-Key-Auth deaktiviert ist. Das geht im verlinkten Artikel tatsaechlich etwas unter, siehe die dortigen Kommentare. Aber selbst wenn PW-Logins deaktiviert sind, kann man bei Verwendung eines unprivilegierten Ports geaergert werden: mit den oben erwaehnten Methoden kann ein Angreifer einem immerhin den SSH-Login blockieren.
edik am :