Änderung SSH [GELÖST]

[nikko]

Wenn ich den Port 22 auf Port XXX in der /etc/ssh/sshd_config ändere, wird das bei einem KH-Update überschrieben?

[Jolinar]

Wenn ich den Port 22 auf Port XXX in der /etc/ssh/sshd_config ändere, wird das bei einem KH-Update überschrieben?

Kann ich aus eigener Erfahrung beantworten: Nein.
SSH-Port verlegen ist immer eins der ersten Dinge, die ich nach einer frischen Installation mache.

[nikko]

Danke! Ich MUSS jetzt nämlich

[Martin]

Hallo,

KeyHelp rührt diese Config nicht an.

Aber aus Neugier, wieso MUSS man diesen denn ändern? Meiner Erfahrung nach ist, zumindest wenn es um Sicherheit geht, mit fail2ban besser geholen.

[Jolinar]

Ich kann natürlich nur für mich sprechen...Bei mir geht es nicht um irgendeinen Sicherheitsgewinn, sondern einzig darum, Logfiles etwas sauberer zu halten.

[Martin]

Hallo,

ok, da ist natürlich ein Argument. Die üblichen Bots hat man dann wohl nicht mehr als Einschlag im Log.
Weil finden kann man ja auch einen geänderten SSH Port mittels nmap o.Ä. ohne größeren Aufwand. Illusionen über Sicherheitsgewinn sollte man sich da nicht hingeben.

[Jolinar]

Illusionen über Sicherheitsgewinn sollte man sich da nicht hingeben.

Völlig richtig, wenn man hier mehr Sicherheit möchte, setzt man (wie du schon sagtest) f2b ein oder die ganz Paranoiden greifen auf Portknocking zurück.

[Martin]

Hallo,

für ganz Paranoide ginge aber auch:

• Authentifikation nur per Key (dieser entsprechend mit eigenem Passwort für den private Key)
• SSH Port nur für bestimmte IP Adressen freigegeben
• (wenn selber keine statische IP - zusätzlich VPN)

[nikko]

@ Martin, für deine Neugier: siehe PN

[Jolinar]

für ganz Paranoide ginge aber auch

Das war doch jetzt eine Anspielung auf mein ausgeprägt hohes Paranoia-Level
Nein im Ernst...Solange die Usability und die Performance nicht oder nur geringfügig darunter leiden, sind zusätzliche Sicherheitsmaßnahmen immer sinnvoll und (aus meiner subjektiven Sicht) auch notwendig.

[OffTopic]
Im Moment bastel ich in meiner lokalen Testumgebung an dem Vorhaben, ein verteiltes VPN als reines Wartungsnetzwerk aufzusetzen, um diverse Dienste und Abläufe (u.a. SSH, SFTP, Monitoring, zentrales Logging) ausschließlich über dieses VPN abzuwickeln.
Als VPN-Tool kommt hier PeerVPN zum Einsatz, da hier keine klassische Server-Client-Architektur benötigt wird und damit die Gefahr eines SPOF wegfällt. Außerdem ist es extrem simpel konfigurierbar und man kann so auch jederzeit weitere Hosts in das Netzwerk aufnehmen.
[/OffTopic]

[b0snaX]

Hallo zusammen,

mal eine frage zu der ganzen Thematik: Wenn ich den SSH Port ändere muss ich dann nicht auch welche andere Datein, wenn man KeyHelp nutzt, ändern z.B. fail2ban oder Firewall ?

[Jolinar]

Wenn ich den SSH Port ändere muss ich dann nicht auch welche andere Datein, wenn man KeyHelp nutzt, ändern z.B. fail2ban oder Firewall ?

Korrekt. Die f2b-Rules müssen genauso wie die iptables-Rules an den geänderten Port angepaßt werden.

[hase]

Hi,
ich habe nach der Portänderung die Firewallregel entsprechend angepasst. von Port 22 auf meine gewählten Port xxxxx geändert. Soweit läuft alles.

Die f2b-Rules müssen genauso wie die iptables-Rules an den geänderten Port angepaßt werden.

Was meinst du damit genau? Hast du vielleicht ein Screenshot wie die f2b-Rules aussehen müssen?

[b0snaX]

Hallo,

@Jolinar
Danke für die Info.

@hase
Fals schon die Regel für den Standart Port in der Firewall schon vorhanden sind, dann kannst Du sie ja als Vorlage nehmen.

[Jolinar]

Sorry erstmal für die etwas verspätete Antwort, aber ich bin zur Zeit nur sporadisch online.

Was meinst du damit genau? Hast du vielleicht ein Screenshot wie die f2b-Rules aussehen müssen?

Die Standardkonfiguration von fail2ban findest du im File /etc/fail2ban/jail.conf.
An diesem File aber keine Anpassungen, Änderungen oder Erweiterungen vornehmen, weil dieses File bei jedem Paketupdate überschrieben wird.

Alle Anpassungen, Änderungen oder Erweiterungen werden im File /etc/fail2ban/jail.local konfiguriert. Alle Einträge in diesem File überschreiben die Standardkonfiguration und sind so auch updateresistent.

Für deinen speziellen Fall:

Code: Select all

nano /etc/fail2ban/jail.local

aufrufen (Sollte das File noch nicht vorhanden sein, wird es angelegt). Dann folgende Konfiguration dort einfügen:

Code: Select all

[ssh]

enabled  = true
port     = <Hier_deinen_Port_eintragen>
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

Da sich bei dir ja nur der Port ändert, können die restlichen Parameter und Filterregeln aus der Standardkonfiguration übernommen werden. Der Parameter maxretry ist Geschmackssache, 3 Versuche sollten hier i.d. Regel auch ausreichend sein.

Ansonsten kann ich nur empfehlen, sich in die Thematik gründlich einzulesen. Der Anfang mag ein wenig mühsam sein, aber wenn man das Grundprinzip verstanden hat, ist die Konfiguration echt simpel.