SSH-Zugriff nur über Zertifikat zulassen

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • SSH-Zugriff nur über Zertifikat zulassen

      Hallo zusammen,

      ich hoffe dass ich hier richtig bin.

      Ich habe folgendes Problem: Ich habe meine solo2 so eingerichtet, dass ich auch von unterwegs drauf zugreifen kann. Nun hab ich in der Log-Datei festgestellt, dass ich nicht der einzige bin, der über ssh versucht sich anzumelden. Ich habe zwar ein sehr langes Passwort mit vielen Sonderzeichen, aber dieser Angriff von außen beunruhigt mich schon etwas. Zumal es zu Spitzenzeiten fast pro Sekunde ein Versuch gibt.
      Ich log mich selber zwischenzeitlich nur noch über ein Zertifikat ein, so dass das Passwort gar nicht benötigt wird. Um diese Angriffe von außen nun zu stoppen würde ich gerne den Zugriff mit Passwort generell verbieten/deaktivieren, sodass man nur noch mit einem Zertifikat zugreifen kann. Ist dies irgendwie möglich? Wenn ja wie?
      Gibt es andere Möglichkeiten um das System abzusichern? z.B den "root"-user umbenennen, oder die Begrenzung der Passwortversuche bei gelicher Ip-Adresse?

      Im voraus schon vielen Dank für Euere Hilfe

    • Hi,

      Quellcode

      1. mcedit /etc/init.d/dropbear


      Nach der Zeile "DROPBEAR_EXTRA_ARGS=" suchen und in
      DROPBEAR_EXTRA_ARGS="-s" ändern.

      Speichern, dropbear neustarten mit

      Quellcode

      1. /etc/init.d/dropbear restart


      -> Kein pasword-Login mehr möglich

      Gruß
      Joe

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Banana Joe ()

    • Egal was du machst, ob per Passwort oder Zertifikat: Der Zugriff als solcher wird aber bleiben. Das ist natürlich unabhängig davon, ob der Login klappt oder nicht. Und wenn die Zugriffe schon im Sekundentakt kommen, dann wird es Zeit sich darüber Gedanken zu machen :)

      Was hast Du denn bisher eingerichtet? DynDNS mit Portfreigabe?
      Gruß
      Snake

    • Änder einfach den Standardport von SSH ab. Diese ganzen Login-Versuche laufen alle automatisiert ab. Portscan verhindert dein Router. Die "Bösen" versuchen einfach ständig aufm Standardport mit Standard-Passwörter sich einzuloggen. Also änder den Port und du wirst keine anderen Login-Versuchen (außer deine eigenen) mehr feststellen.
      Tipp des Tages: Macht Backups!

    • Hi nochmal,

      ich persönlich halte nicht viel davon,den Usernamen root abzuändern. Normalerweise sollte ein root-Login erst garnicht möglich sein. Viel schlauer ist es, einen normalen User anzulegen und dann mit sudo arbeiten.
      Auch das Verbiegen des ssh-Ports ist keine wirkliche Lösung. Ein moderner Portscanner kann innerhalb wenigen Sekunden einen offenen SSH-Port erkennen, ganz gleich, in welchem Port-Bereich dieser liegt.
      Beide Maßnahmen fallen für mich persönlich eher in die Kategorie "security by obscurity".

      Banis schrieb:

      oder die Begrenzung der Passwortversuche bei gelicher Ip-Adresse?

      Theoretisch müsste das machbar sein, z.B. mit "fail2ban".
      Aber ich würde davon abraten, denn es gibt kein fertiges Paket für die VU, und spätestens ab VTI 7.x wird es nicht mehr funktionieren, weil da iptables entfernt wurde.

      Die ultimative Lösung ist: ein VPN bauen.

      Gruß
      Joe

    • Warum ist ein VPN besser als SSH?

      Hallo!
      Für mich stellt sich die Frage warum ein VPN besser ist als SSH?


      Beide müssen nach außen einen Port öffnen und lassen dann ggf. Zertifikat basierte Authentifizierung zu.
      Die Technologie dahinter ist jeweils ssl.
      Wenn also der ssh-deamon (dropbear) nur noch per Zertifikat konfiguriert wird, sehe ich hier technisch keinen Unterschied?
      Oder ist meine Sicht der Dinge falsch?

      Grüße

    • saihttam schrieb:

      Wenn also der ssh-deamon (dropbear) nur noch per Zertifikat konfiguriert wird, sehe ich hier technisch keinen Unterschied?


      Das ist richtig. Sofern Verschlüsselungs-Algorithmus und Schlüssellänge übereinstimmen (kann man einstellen), macht es keinen Unterschied, da beide Varianten auf openSSL aufsetzten.

      Ein VPN hat allerdings den Vorteil, dass man völlig transparent ein komplettes Netzwerk tunneln kann. Man kann zwar mit SSH auch Tunnel bauen, aber nicht so elegant wie mit einem VPN, denn hier benötigt jeder einzelne Dienst einen eigenen SSH-Tunnel.

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Banana Joe ()