Onderwerp: sshd op andere poort - ervaringen

Ja ok maar dan heb je straks wel een iptables chain van hier tot Tokyo.

Evt. kun je ook password auth. in sshd_config uitzetten .. en alleen via keys laten inloggen geloof ik. Echter, zorg wel dat je een workaround hebt .. zodat je jezelf niet buitensluit.

Origineel geplaatst door BoX
Ja ok maar dan heb je straks wel een iptables chain van hier tot Tokyo.

Ik heb geen idee van iptables - bij PF kun je zonder overhead enkele duizenden records in zo'n table hebben. Bovendien kun je ze dynamisch lozen als je wilt na bijv. 3 dagen. Dat zal bij ipchains toch ook mogelijk zijn lijkt me?

Door een aantal recente, slechte linux ervaringen ben ik bang geworden om mezelf buiten te sluiten.
Zijn er manieren om ervoor te zorgen dat ik toch zeker nog binnenkan als ssh niet meer terug wilt starten na de poortwijziging? (bv 2 ssh's openen op 2 verschillende poorten, 1 veilige versie die werkt, en voor de veiligheid een andere test opstarten op een andere poort ofzo)
Bv: die poort wordt niet toegestaan door firewall ofzo, duizenden noodscenario's bedenkbaar...

Of zijn er alternatieve services die ik tijdelijk kan draaien dat ik het zeker nog kan terugzetten?

Ty

Als je sshd restart blijft je huidige sessie gewoon actief. Dus verander port in config, herstart, kijk met een nieuwe shell/putty/etc of je kan connecten. Zo niet dan heb je altijd nog de originele sessie om het te fixen.

Vraagje: als ik de poort van sshd aanpas, moet ik dit dan ook aanpassen in andere services die dit gebruiken, ik denk bv aan controlepanelen zoals webmin, clarkconnect, ...
Ik denk dat veel van die poort afhangt om de server te configureren, zeker aangezien het via http niet veilig is...

Zoja: waar allemaal aanpassen? :-p
En services zoals snort (firewall-achtige)?

Of andere dingen waar ik op moet letten?

Ty!

Ik heb 1 algemene tip:

Installeer, configureer en beveilig je systeem voordat hij uberhaupt het DC ingaat en helemaal voordat hij als productie server gaat werken!!
Nooit klooien als servers al live zijn!!

En mocht het toch nodig zijn dan alleen als je zelf naast de server staat!

Server staat in Nederland, ik woon in België :-p (Wegens economische redenen, Nl goedkoper)

We hebben een voorgeinstalleerde server genomen, via clarkconnect, maar ik merk steeds meer hoe slecht zo'n automatische installaties zijn... Meer dan de helft ontbreekt (up2date, firewall, ...)
En het is moeilijk om hem aan te passen, veel dingen staan op andere locaties etc...

Geen andere keus dus dan het aan te passen terwijl hij in het DC staat

Maar heeft het aanpassen van de poort invloed op andere services?
Ja/Neen + welke?

Bedankt!

Misschien moet je eens verhuizen

Het veranderen van een port heeft weinig effect op andere processen tenzij:

- Ik neem als voorbeeld apache op port 80.
- Apache draait niet maar in de config staat deze wel op 80
- Je stelt je sshd op port 80 en restart sshd
- Dan kan de volgende keer dat je apache start deze niet connecten op port 80....
Dat is het grootste probleem.

In een erger geval is dezelfde situatie als hierboven dat je een restart geeft van je server (nadat je de port van sshd op 80 hebt gezet) en dat je apache server eerder start dan je sshd (standaard start sshd direct na je netwerkadapters en apache pas later, maar ook dat kun je zelf instellen).

Verder zijn er naar mijn idee geen mogelijke problemen. Slimmer is om te kijken in een overzicht van alle gereserveerde porten welke er uberhaupt niet zijn gereserveerd en die gebruiken. Of een port van een process dat je nooit zal gaan gebruiken.

Origineel geplaatst door Wido
Wij staan gewoon via de firewall enkel SSH connecties toe vanaf een paar IP's en één /24

Op die manier kan niemand vanaf buiten je server-park benaderen via SSH.

Dat is toch een stukje extra veiligheid.

En uiteraard root login uit.

Misschien wel veilig, maar als je een keer even ergens anders bent, en je moet echt even wat doet omdat er probs zijn, kun je nooit bij iemand anders wat fixen via ssh.

Smart question: Wat als we nu eens een honeypot server op de sshd poort draaien, die automatische bots gaan niet verderzoeken als ze een open ssh poort vinden. (toch niet de bots die ik ken)

Vraagje dus: waar vind ik zo een simpele honeypot sshd server om op die poort te gaan draaien?

Ty

Ik ken het Honeypot principe alleen als een tool om te leren van mensen die de kennis hebben om erin te komen. Kortom gewoon een standaard systeem zoals je hem wil installeren, maar dan zonder hosts.allow/deny en IPtables etc en puur en alleen de programma's.
Daarnaast uiteraard de programma's om de indringer goed te kunnen volgen (keyloggers etc.).

Deze methode is zeer effectief voor het leren en verkennen van de gaten in je gewenste systeem om ze vervolgens voordat de server in productie gaat optimaal te kunnen beveiligen.

Een andere methode van een Honeypot is juist het proberen te betrappen van indringers en het traceren van die persoon (daar komt de naam pot met honing vandaan) kortom als lokkertje dus.

Ik denk dat jij meer een klein programmaatje zoekt wat doet alsof het sshd is dmv de eerste paar berichten van sshd na te doen en eventueel wat fake output te geven bij een ls en cd.

(Ik bvraag me af of dit laatste valt onder het kopje Honeypot)

Vormen die bots nou zo'n goot gevaar? Je neemt toch gewoon zo'n irritant password (in de zin van hoofldetter-kleineletters-tekens-cijfers-letters door elkaar), en installeerd BFD (brute force detection) i.c.m. APF, die na x keer foute inlog het IP blokkeerd...

Volgens mij check CPanel of ssh nog draait door te connecten, dus dat zal de poort wel willen weten. Ik neem aan dat dingen als DA en Plesk ook zoiets hebben.

Bots vormen gevaar + onnodige load en logs ;-)

Quote: "een klein programmaatje zoekt wat doet alsof het sshd is dmv de eerste paar berichten van sshd na te doen en eventueel wat fake output te geven bij een ls en cd."

Heeft iemand dit? :-)
Het is niet de bedoeling om mensten te gaan aangeven, of te loggen, maar om ervoor te zorgen dat men niet gaat verderzoeken naar onze echte sshd poort ;-)
Iemand? (a)

Origineel geplaatst door AlexanderOnline

Misschien wel veilig, maar als je een keer even ergens anders bent, en je moet echt even wat doet omdat er probs zijn, kun je nooit bij iemand anders wat fixen via ssh.

Dan zorg je ervoor dat je een inbel account heb met fixed IP zodat je altijd bij de server(s) kan.