SSH Fragen

[SpecialAgent]

Hallo,

ich möchte mich nur noch mit meinem private key am Server ( FreeBSD 6.1 ) einloggen.

a) Wie schalte ich den passwort login aus, aber nicht den ganzen login (ssh key login erlaubt)

b) Kann man ssh beibringen nicht sofort jede Anfrage zu bearbeiten sondern zwischen den logins z.b. eine Minute zu warten?

Danke euch.

 

[zyon]

a) Wie schalte ich den passwort login aus, aber nicht den ganzen login (ssh key login erlaubt)

wik wik wikii

 

[SpecialAgent]

Hallo,

ja danke habs mir gerade duchgelesen... das beantwortet aber leider nicht meine Fragen... ich will mich NIE wieder über ein Passwort einloggen KÖNNEN... soll komplett verboten sein...

Ich habs eingerichtet und funzt auch soweit.. aber an einem Rechner ohne private schlüssel kann ich mich immer noch mit meinem normalen User Passwort einloggen... das möchte ich nicht...

Und SSH sollte nach jedem login Versuch 1 Minute warten um DOS Agriffe zu schwächen.

Danke.

 

[SpecialAgent]

Hey,

also a) habe ich jetzt rausgefunden

in der /etc/ssh/sshd_conf folgende Directive auf no ändern und die Kommentierung weg machen:

# Change to no to disable PAM authentication
ChallengeResponseAuthentication no

zu b) hab ich allerdings noch nix gefunden....

Gruss.

 

[peterle]

ja danke habs mir gerade duchgelesen... das beantwortet aber leider nicht meine Fragen... ich will mich NIE wieder über ein Passwort einloggen KÖNNEN... soll komplett verboten sein...

Birgt das nicht die Gefahr, mit runter gelassener Hose vor dem Rechner zu hocken, wenn ssh/key, mal Probleme macht?

 

[SpecialAgent]

Hmm... ja stimmt schon.. aber dafür kann ich mich ja noch lokal einloggen.... also für diesen Fall der alle 10 Jahre mal vorkommen kann ist das ne gute Lösung.

 

[bossk]

MaxStartups A:B:C
	
Beschränkt die maximale Anzahl simultaner Verbindungen und
reduziert die Gefahr von DOS-Angriffen (Denial Of Service).
Bei OpenSSH kann man hier ein Triplet angeben: MaxStartups A:B:C.
Wenn die Anzahl der offenen Verbindungen A oder größer ist, 
wird SSH anfangen Verbindungen zurückzuweisen. 
Die Wahrscheinlichkeit für eine Abweisung ist B%.
Wenn die Anzahl der Verbindungen C erreicht ist,
die Wahrscheinlichkeit für die Abweisung 100%.

Das hilft Dir evtl. auch weiter. Ist zwar nicht die Loesung die Du sucht. Aber anders kannst Du es wohl nur ueber ein Firewall Skript loesen.

Gruss,
bossk

 

[Ice]

Edit: Sry, die Lösung für a) wurde ja bereits gefunden. Mein Fehler.

 

[Kamikaze]

Und SSH sollte nach jedem login Versuch 1 Minute warten um DOS Agriffe zu schwächen.

Mit einer solchen Einstellung würdest du einen DOS erst ermöglichen. Ein Skript Kiddie schreibt ein Skript, das alle 30 Sekunden einen Login versucht und schon kommst du nie wieder an die Kiste ran.

Was du verhindern willst heißt Brute Force, aber deine Lösung verwendet man nicht, eben weil man damit einen DOS ermöglicht. Einen Brute Force verhindert man mit Schlüsseln ausreichender Länge.

 

[SpecialAgent]

Hmm... gar kein schlechter Gedanke... ich dachte ein DOS Angriff ist dafür ausgelegt den Server mit übermäßigem Traffic oder Arbeit lahm zulegen. Sprich bei 100 Login Versuche pro Sekunde muss der Server die alle bearbeiten, schreibt die Log dateien voll (bei Linux läuft die Platte über), das Netzwerk Interface ist überlastet und der (Web) Server kann keine anderen Anfragen mehr bearbeiten... das wollt ich mit der Minute halt verhindern... aber hast schon recht... mit son nem skript würd ich auch dumm aussehen...

Brute force hm? Wie werden denn die obigen Sachen durch einen langen Schlüssel verhindert?

 

[lars]

Wenn dein Schlüssel aus '1234' besteht, so ist die Chance,
dass ebendiese Sequenz in einer Bruteforce-Passwortliste höher,
als die Sequenz '12-aslaüoisnb-df.mvscüposehsa-afaeölbm¨wepohd¨üpiowemrf'.

 

[Kamikaze]

Wenn du Key Authentifizierung machst liegst du mit einem langen Key eigentlich auf der sicheren Seite. Schon ein 1024 Bit Key entspräche einem Zufallspasswort mit 128 Zeichen. Defakto sogar noch länger, da du ja bei Passwörtern durch das Eingabegerät beschränkt bist.

 

[-Daemon-]

Und um ganz sicher zu gehen, kann der ssh-port auch verlegt werden

 

[lars]

Den du dann per nmap wieder findest.

 

[Kamikaze]

Und um ganz sicher zu gehen, kann der ssh-port auch verlegt werden

Das bringt doch niemanden weiter. Auf "Security by Obscurity" ist kein Verlass.

 

[SpecialAgent]

Ahh... ok...

hab nu nen 2048 Bitigen Schlüssel für meinen Benutzer der wheel rechte hat. root darf sich nicht per ssh einloggen. Also müsste man meinen Schlüssel ( der auch ne passphrase hat ) knacken und noch das root passwort für su knacken um root rechte zu bekommen.... hört sich recht sicher für mich an! *GG

Wenn jetzt nicht die Gefahr von anderen Progs bestehen würde durch irgendwelche Security Issues root rechte über einen anderen Port zu bekommen müßte mein Server jetzt schön dicht sein! :-)

Danke Leute,

Gruss.

 

[max93]

Das bringt doch niemanden weiter. Auf "Security by Obscurity" ist kein Verlass.

Bei Verwendung eines alternativen Ports geht es ja auch nicht mehr wirklich um Security (jedenfalls sollte einem das klar sein, insofern hast du schon recht darauf hinzuweisen), sondern nur mehr darum, dass das Log nicht mehr vollgespammt wird und genau das leistet es zuverlässig. Seit ich das mache hatte ich noch genau ein einziges mal so einen dumben Username/Passwort-probieren-Versuch im Log.

Man sollte aber noch erwähnen, dass man in restriktiven Umgebungen erstmal dem Admin erklären muss, warum man mal eben Port XY nach aussen braucht. Kein Vorteil ohne Nachteil also.

Ciao.
Markus Mann
];-)