Onderwerp: Beveiligen van ssh

Heb een tijd SSH draaien en ik zie toch best vaak brute force attacks, heb een sterk wachtwoord dus dat is het punt niet.

Maar nu de vraag, kan ik dit tegenhouden? en misschien sowieso ssh beter beveiligen?

Alvast bedankt...

Je kan een ander poort nummer gebruiken, root login uitschakelen en ssh op client ip adres vastleggen...

Zoek eens op SSH tunnel, dit scheelt al een groot stuk.

werken met ssh certificaten

Oorspronkelijk geplaatst door aapnoot1

Heb een tijd SSH draaien en ik zie toch best vaak brute force attacks, heb een sterk wachtwoord dus dat is het punt niet.

Maar nu de vraag, kan ik dit tegenhouden? en misschien sowieso ssh beter beveiligen?

Alvast bedankt...

Ga eens met keys werken en schakel de mogelijgheid om een username wachtwoord combi te gebruiken uit.

Daarnaast eventueel bovenstaande opties:
- zet ssh op een andere poort
- limiteer het source ip wat toegang heeft.

Er zijn veel mogelijkheden om dat op te lossen.
Je zou sshd op een andere poort kunnen laten luisteren (dus één die niet in /etc/services opgesomd is), je zou een tool zoals fail2ban kunnen installeren ( zie http://mh-lantech.css-hamburg.de/ipc...title=Fail2ban )
Je zou sshd zo kunnen configureren zodat mensen alleen met sshkeys in kunnen loggen.
etc . .

Wat ik altijd doe is root login disablen (wel eerst een ander account maken), en daarna het poortnummer veranderen.

Beter is natuurlijk alleen via het vlan op ssh kunnen inloggen

Oorspronkelijk geplaatst door KristianT

Zoek eens op SSH tunnel, dit scheelt al een groot stuk.

Ik heb gezocht, maar weet nog steeds niet wat je hiermee wil zeggen...
doet eens wat van je clue hier gooien zodat het zoeken specifieker kan worden...

De bruteforce attacks blijven als je key only authenticatie gebruikt, alleen komen ze er dan niet in ( root authenticatie heb ik alleen in mjin prive netwerk staan, nooit op dozen die extern zijn).
sshblock is ook een oplossing (en eventueel zelf ook erg makkelijk te schrijven, mocht je een daemon daarvoor een beetje overdreven vinden).
http://www.bsdconsulting.no/tools/sshblock-1.0.pl

Mijn ervaring met het veranderen van poorten ed dat je je zelf alleen maar loopt te pesten, daar er bij veel klanten geen andere poorten openstaan waarover je kan communiceren met ssh,.

Mvgr,
Martin

Aanvulling:
Je kan ook een permanente ssh block vanuit extern verkeer doen en dan met vpn eerst inloggen, je krijgt dan een ip binnen je vlan en dan pas zou je in kunnen loggen.

En als al het bovenstaande niet voldoende is kan je portknocking overwegen.
Dat is een extra laag van beveiligen, niet bedoeld ter vervanging van de huidige beveiliging.

je kan ook nog (eventueel als extra) dingen als fail2ban gebruiken

Voor servers waar ik met wachtwoord op kan, gebruik ik een token, naast het password (Swekey will do, zonder dat je een PKI omgeving hoeft te bouwen). Verder werk ik eigenlijk alleen met SSH keys. fail2ban/lfd draait op sommige servers, belangrijke zaken staan achter een transparante firewall die :22 gewoon niet toelaat vanaf vage IP's.
Verder werk ik vrijwel altijd met VPN of via een terminal server (SSL beveiligd). Even globaal wat dingen, zonder details.

Voor de fails in een normale omgeving kun je fail2dan of LFD gebruiken. Een andere poort is eigenlijk wel een vereiste, dat scheelt snel 95%+ van de zooi. Met IPtables kun je ook een fail2ban systeem maken, door te triggeren op het aantal requests per minuut.

SSH poort veranderen zal enkel je logs schoon houden. Voor de rest houd het jezelf enkel voor de gek: een goed geconfigureerde SSH server heeft geen last van de bruteforce attacks (bijvoorbeeld omdat je key only logins hebt, of omdat je regelmatig een nieuw wachtwoord neemt). Veranderen van poort is leuk om die brute force attacks niet meer te zien, maar voor de rest is het een schijnveiligheid. Wil iemand echt kwaad, is het niet lastig om de juiste poort alsnog te vinden.

Verder bovenstaande zaken meenemen. Keys werken erg goed en zijn zeer veilig. Root login uitzetten (zodat er twee accounts 'gekraakt' moeten worden) en connecties beperken tot een aantal IP's (of ranges, als je dynamisch zit). Verder natuurlijk je software (client en server) up to date houden.

Ratelimit voorbeeld (3x per minuut, bij 4e keer een drop) op basis van IPTables. (elke Linux 2.6x kernel, géén xBSD!)

Code:

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent \
 --set

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent \
 --update --seconds 60 --hitcount 4 -j DROP

Dit kun je in je rc.local zetten of in je standaard iptables file. Vergeet niet te saven

Randy, die Swekeys werken die ook in linux/mac omgevingen?
Ik zie in het voorbeeld script dat er namelijk een ActiveX object embedded moet worden. (Gaat vol automatisch).