Page 1 of 2
Änderung SSH
Posted: Sat 7. Oct 2017, 21:39
by nikko
Wenn ich den Port 22 auf Port XXX in der /etc/ssh/sshd_config ändere, wird das bei einem KH-Update überschrieben?
Re: Änderung SSH [GELÖST]
Posted: Sat 7. Oct 2017, 21:43
by Jolinar
nikko wrote: ↑Sat 7. Oct 2017, 21:39Wenn ich den Port 22 auf Port XXX in der /etc/ssh/sshd_config ändere, wird das bei einem KH-Update überschrieben?
Kann ich aus eigener Erfahrung beantworten: Nein.
SSH-Port verlegen ist immer eins der ersten Dinge, die ich nach einer frischen Installation mache.
Re: Änderung SSH
Posted: Sat 7. Oct 2017, 22:09
by nikko
Danke! Ich MUSS jetzt nämlich
Re: Änderung SSH
Posted: Sun 8. Oct 2017, 11:39
by Martin
Hallo,
KeyHelp rührt diese Config nicht an.
Aber aus Neugier, wieso MUSS man diesen denn ändern? Meiner Erfahrung nach ist, zumindest wenn es um Sicherheit geht, mit fail2ban besser geholen.
Re: Änderung SSH
Posted: Sun 8. Oct 2017, 11:45
by Jolinar
Ich kann natürlich nur für mich sprechen...Bei mir geht es nicht um irgendeinen Sicherheitsgewinn, sondern einzig darum, Logfiles etwas sauberer zu halten.
Re: Änderung SSH
Posted: Sun 8. Oct 2017, 11:51
by Martin
Hallo,
ok, da ist natürlich ein Argument. Die üblichen Bots hat man dann wohl nicht mehr als Einschlag im Log.
Weil finden kann man ja auch einen geänderten SSH Port mittels nmap o.Ä. ohne größeren Aufwand. Illusionen über Sicherheitsgewinn sollte man sich da nicht hingeben.
Re: Änderung SSH
Posted: Sun 8. Oct 2017, 12:07
by Jolinar
Martin wrote: ↑Sun 8. Oct 2017, 11:51Illusionen über Sicherheitsgewinn sollte man sich da nicht hingeben.
Völlig richtig, wenn man hier mehr Sicherheit möchte, setzt man (wie du schon sagtest) f2b ein oder die ganz Paranoiden greifen auf Portknocking zurück.
Re: Änderung SSH
Posted: Sun 8. Oct 2017, 13:14
by Martin
Hallo,
für ganz Paranoide ginge aber auch:
- Authentifikation nur per Key (dieser entsprechend mit eigenem Passwort für den private Key)
- SSH Port nur für bestimmte IP Adressen freigegeben
- (wenn selber keine statische IP - zusätzlich VPN)
Re: Änderung SSH
Posted: Sun 8. Oct 2017, 13:52
by nikko
@ Martin, für deine Neugier:
siehe PN
Re: Änderung SSH
Posted: Sun 8. Oct 2017, 14:07
by Jolinar
Martin wrote: ↑Sun 8. Oct 2017, 13:14für ganz Paranoide ginge aber auch
Das war doch jetzt eine Anspielung auf mein ausgeprägt hohes Paranoia-Level
Nein im Ernst...Solange die Usability und die Performance nicht oder nur geringfügig darunter leiden, sind zusätzliche Sicherheitsmaßnahmen immer sinnvoll und (aus meiner subjektiven Sicht) auch notwendig.
[OffTopic]
Im Moment bastel ich in meiner lokalen Testumgebung an dem Vorhaben, ein verteiltes VPN als reines Wartungsnetzwerk aufzusetzen, um diverse Dienste und Abläufe (u.a. SSH, SFTP, Monitoring, zentrales Logging) ausschließlich über dieses VPN abzuwickeln.
Als VPN-Tool kommt hier PeerVPN zum Einsatz, da hier keine klassische Server-Client-Architektur benötigt wird und damit die Gefahr eines SPOF wegfällt. Außerdem ist es extrem simpel konfigurierbar und man kann so auch jederzeit weitere Hosts in das Netzwerk aufnehmen.
[/OffTopic]
Re: Änderung SSH
Posted: Sun 8. Oct 2017, 21:30
by b0snaX
Hallo zusammen,
mal eine frage zu der ganzen Thematik: Wenn ich den SSH Port ändere muss ich dann nicht auch welche andere Datein, wenn man KeyHelp nutzt, ändern z.B. fail2ban oder Firewall ?
Re: Änderung SSH
Posted: Sun 8. Oct 2017, 21:57
by Jolinar
b0snaX wrote: ↑Sun 8. Oct 2017, 21:30Wenn ich den SSH Port ändere muss ich dann nicht auch welche andere Datein, wenn man KeyHelp nutzt, ändern z.B. fail2ban oder Firewall ?
Korrekt. Die f2b-Rules müssen genauso wie die iptables-Rules an den geänderten Port angepaßt werden.
Re: Änderung SSH
Posted: Sun 8. Oct 2017, 23:05
by hase
Hi,
ich habe nach der Portänderung die Firewallregel entsprechend angepasst. von Port 22 auf meine gewählten Port xxxxx geändert. Soweit läuft alles.
Jolinar wrote: ↑Sun 8. Oct 2017, 21:57
Die f2b-Rules müssen genauso wie die iptables-Rules an den geänderten Port angepaßt werden.
Was meinst du damit genau? Hast du vielleicht ein Screenshot wie die f2b-Rules aussehen müssen?
Re: Änderung SSH
Posted: Sun 8. Oct 2017, 23:52
by b0snaX
Hallo,
@Jolinar
Danke für die Info.
@hase
Fals schon die Regel für den Standart Port in der Firewall schon vorhanden sind, dann kannst Du sie ja als Vorlage nehmen.
Re: Änderung SSH
Posted: Tue 7. Nov 2017, 20:21
by Jolinar
Sorry erstmal für die etwas verspätete Antwort, aber ich bin zur Zeit nur sporadisch online.
hase wrote: ↑Sun 8. Oct 2017, 23:05Was meinst du damit genau? Hast du vielleicht ein Screenshot wie die f2b-Rules aussehen müssen?
Die Standardkonfiguration von fail2ban findest du im File
/etc/fail2ban/jail.conf.
An diesem File aber keine Anpassungen, Änderungen oder Erweiterungen vornehmen, weil dieses File bei jedem Paketupdate überschrieben wird.
Alle Anpassungen, Änderungen oder Erweiterungen werden im File
/etc/fail2ban/jail.local konfiguriert. Alle Einträge in diesem File überschreiben die Standardkonfiguration und sind so auch updateresistent.
Für deinen speziellen Fall:
aufrufen (Sollte das File noch nicht vorhanden sein, wird es angelegt). Dann folgende Konfiguration dort einfügen:
Code: Select all
[ssh]
enabled = true
port = <Hier_deinen_Port_eintragen>
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Da sich bei dir ja nur der Port ändert, können die restlichen Parameter und Filterregeln aus der Standardkonfiguration übernommen werden. Der Parameter
maxretry ist Geschmackssache, 3 Versuche sollten hier i.d. Regel auch ausreichend sein.
Ansonsten kann ich nur empfehlen, sich in die Thematik gründlich einzulesen. Der Anfang mag ein wenig mühsam sein, aber wenn man das Grundprinzip verstanden hat, ist die Konfiguration echt simpel.