Debian SSH im Internet als Zugang verwenden?

[AHA1805]

Hallo

leider bin ich mit Linux noch nicht so bewandert.
Aber der SSH in Verbindung mit putty gefällt mir schon sehr gut,
vor allem kann ich hier wunderbar mein fhem über einen verschlüsselten Tunnel anschauen, anpassen und ...

Wäre so für unterwegs sehr praktisch.

Wie würden es Linux und Sicherheitsbewuste sehen,
ist der SSH Server sicher gegen Hacking und würdet ihr den Port 22 über Umleitung von z.B. Port 12345 aus dem Internet freischalten.

Oder weiß jeder der den offenen Port 12345 findet, sofort welcher SSH Server dahinter steckt mit all seinen Sicherheitslücken?

Bin gespannt auf eure Kommentare

Gruß und Danke
Hannes



Gesendet von Unterwegs mit Tapatalk 4

[Zephyr]

Hallo AHA1805,

Du verwendest doch eine FB7390, oder?
Richte Dir doch dort einen VPN-Zugang zu Deinem Heimnetzwerk ein. Die meisten Handybetriebssysteme und Tablet-OS unterstützen ein Cisco-VPN, wie es die FB bereitstellt.
SSH muss so konfiguriert werden, dass bestimmte Zugänge einfach partout nicht funktionieren. Stichwort: kein root-Login via SSH, Login über SSH nur via Schlüsselaustausch und keinesfalls nur über Passwort, etc. pp.
Telnet auf FHEM solltest Du auf keinen Fall nach außen erreichbar machen.

Viele Grüße
Zephyr

[AHA1805]

Hallo Zephr

Danke für die Rückmeldung.
VPN verwende ich auch vom Handy, dafür brauche ich jedoch einen VPN Client auf dem Rechner.
Von dem Rechner, welchen ich nutze ist nur putty drauf und auch nur ein Port ins Internet offen; -)
Deshalb nutze ich hier putty .
Upps, aber bisher mit root User, überprüfe aber immer den Fingerprint ob der paßt.

Das heißt hier habe ich schnellen handlungsbedarf

Gruß Hannes

Gesendet von Unterwegs mit Tapatalk 4

[betateilchen]

SSH muss so konfiguriert werden, dass bestimmte Zugänge einfach partout nicht funktionieren.
Stichwort: kein root-Login via SSH,
Login über SSH nur via Schlüsselaustausch und keinesfalls nur über Passwort

Keinesfalls ÜBERHAUPT über Passwort.

Wenn man diese einfachen Sicherheitsregeln beachtet, kann man SSH ziemlich beruhigt überall verwenden. Einen anderen Port zu verwenden, ist absolut nutzlos. Dauert weniger als eine Sekunde, das rauszufinden.

[AHA1805]

Hallo Udo,

danke für die Info.
Hab meine Freigabe für den SSH schon deaktiviert  .

Dann werde ich vorerst vom TAB über VPN auf zu Hause zugreifen.

Gruß Hannes

[marc2]

Hallo Hannes,

wenn man auf seinem Gateway Server einen anständigen Paketflter drauf hat, kann man den
Zugriff  recht einfach auf die Devices beschränken, mit denen man zugreifen möchte. Da letztere im
Regelfall eine dynamische IP besitzen, überprüft der Gateway Server in meinem Fall
regelmäßig ob sich die IP eines zulässigen Endgerätes geändert hat und passt dynamisch
die FW Regel an.  Nutze ich nicht für SSH aber für andere Services (Zugang zu WebCams, etc.).
Die FW Lösung der Fritzbox eignet sich hierfür leider aber nur bedingt ....

Gruß, Marc

[Schorsch]

Nee, MAC lässt sich auch leicht spoofen. Ich hänge kein Debian direkt per ssh ins Netz, auch nicht mit Schüssel und gleich gar nicht für Root. Bei mir geht's nur per OpenVPN mit Nutzerschlüssel rein. Auf dem Router läuft pfSense u.a. mit Snort

[Wernieman]

Also mal ernsthaft:

Ein normal Abgesicherter ssh-Server ist sicherheitstechnisch besser als ein normaler-VPN-Server.  Dazu ist er noch um einiges einfacher zu konfigurieren!

Und das manko "Nur mit Key" ist auch nicht unbedingt das "gelbe vom Ei". Superviele Webserver werden über ssh administriert, vpn ist da doch eher selten im Einsatz. Und wie alt ist die letzte Sicherheitslücke von ssh? .... und als Kontrast dazu: Wann kam die letzte Sicherheitslücke eines vpn raus?

Also im Zweifel lieber ssh als vpn.

Grundsätzlich natürlich:
Egal ob ssh oder vpn, alles hängt dann an "sauberen" Passwörtern. Und eventuelle Blockaden bei Passwortprüfungen (fail2ban o.Ä. Produkte)

[justme1968]

hier geht gerade einiges durcheinander.

egal ob vpn oder ssh: das ein normaler hacker die verschlösselung knackt ist sehr unwahrscheinlich. zumal z.b. openvpn und ssh die gleichen/ähnliche methoden verwenden.

den zugang mit einer user/password kombination zu sicher statt einer public key authentifizierung ist sträflicher leichtsinn. egal ob für vpn oder ssh. egal wie gut das password (das du ja auch noch praktikabel eingeben musst) ist: es ist es um längen schlechter als als jedes zertifikat oder public key.

wenn du deinen key für den zugang zusätzlich mit einem password sicherst schützt das gegen den diebstahl des gerätest bzw. des keys. wie groß der schutz ist ist ansichtssache.

gruss
  andre

[betateilchen]

hey andre, da hat Dir aber heute mächtig die Grammatik in die Suppe gespuckt. Ich musste Deinen Beitrag echt dreimal lesen, um ihn zu verstehen 

[justme1968]

ich hab zwar nicht ausgeschlafen aber sooo schlimm war es doch garnicht

[Zephyr]

Da wir vermutlich alle keine Sicherheitsexperten sind, führt uns die Diskussion um Für und Wider SSH oder VPN nicht der Fragestellung von Hannes an's Ziel.

Wenn man SSH richtig konfiguriert, kann man das bestimmt nach außen durchleiten.
VPN hat halt den großen Vorteil, dass man von unterwegs aus alle Server mit allen Funktionen bedienen kann. Häufig möchte ich doch gar nicht am Unterbau meines FHEM-Servers schrauben, sondern über die Weboberfläche etwas ändern, einstellen oder prüfen.
Da hilft mir dann auch der durchgeleitete SSH-Zugang primär nicht weiter.

Ich plädiere für solche Dinge eher für VPN-Zugänge.

Viele Grüße
Zephyr

[Wernieman]

Nur mal am Rande:

ssh ist mit Portforwarding innerhalb von ssh durchaus schon als "mini-VPN" zu sehen ....

[Franz74]

Hallo,

jeder Linux Server wird per SSH Administriert und ssh gilt wenn es mit einem 2048bit Schlüssel welcher heute Standard ist Verschlüsselt nach Stand der Technik als Sicher.

SSH Tunnel sind eine Super sache für Temporäre Verbindungen!

Franz

[betateilchen]

ich geh mal eben Popcorn holen, der Thread hat echt Potenzial