Debian SSH im Internet als Zugang verwenden?

[AHA1805]

Hallo

leider bin ich mit Linux noch nicht so bewandert.
Aber der SSH in Verbindung mit putty gefällt mir schon sehr gut,
vor allem kann ich hier wunderbar mein fhem über einen verschlüsselten Tunnel anschauen, anpassen und ...

Wäre so für unterwegs sehr praktisch.

Wie würden es Linux und Sicherheitsbewuste sehen,
ist der SSH Server sicher gegen Hacking und würdet ihr den Port 22 über Umleitung von z.B. Port 12345 aus dem Internet freischalten.

Oder weiß jeder der den offenen Port 12345 findet, sofort welcher SSH Server dahinter steckt mit all seinen Sicherheitslücken?

Bin gespannt auf eure Kommentare

Gruß und Danke
Hannes



Gesendet von Unterwegs mit Tapatalk 4

[Zephyr]

Hallo AHA1805,

Du verwendest doch eine FB7390, oder?
Richte Dir doch dort einen VPN-Zugang zu Deinem Heimnetzwerk ein. Die meisten Handybetriebssysteme und Tablet-OS unterstützen ein Cisco-VPN, wie es die FB bereitstellt.
SSH muss so konfiguriert werden, dass bestimmte Zugänge einfach partout nicht funktionieren. Stichwort: kein root-Login via SSH, Login über SSH nur via Schlüsselaustausch und keinesfalls nur über Passwort, etc. pp.
Telnet auf FHEM solltest Du auf keinen Fall nach außen erreichbar machen.

Viele Grüße
Zephyr

[AHA1805]

Hallo Zephr

Danke für die Rückmeldung.
VPN verwende ich auch vom Handy, dafür brauche ich jedoch einen VPN Client auf dem Rechner.
Von dem Rechner, welchen ich nutze ist nur putty drauf und auch nur ein Port ins Internet offen; -)
Deshalb nutze ich hier putty .
Upps, aber bisher mit root User, überprüfe aber immer den Fingerprint ob der paßt.

Das heißt hier habe ich schnellen handlungsbedarf

Gruß Hannes

Gesendet von Unterwegs mit Tapatalk 4

[betateilchen]

SSH muss so konfiguriert werden, dass bestimmte Zugänge einfach partout nicht funktionieren.
Stichwort: kein root-Login via SSH,
Login über SSH nur via Schlüsselaustausch und keinesfalls nur über Passwort

Keinesfalls ÜBERHAUPT über Passwort.

Wenn man diese einfachen Sicherheitsregeln beachtet, kann man SSH ziemlich beruhigt überall verwenden. Einen anderen Port zu verwenden, ist absolut nutzlos. Dauert weniger als eine Sekunde, das rauszufinden.

[AHA1805]

Hallo Udo,

danke für die Info.
Hab meine Freigabe für den SSH schon deaktiviert  .

Dann werde ich vorerst vom TAB über VPN auf zu Hause zugreifen.

Gruß Hannes

[marc2]

Hallo Hannes,

wenn man auf seinem Gateway Server einen anständigen Paketflter drauf hat, kann man den
Zugriff  recht einfach auf die Devices beschränken, mit denen man zugreifen möchte. Da letztere im
Regelfall eine dynamische IP besitzen, überprüft der Gateway Server in meinem Fall
regelmäßig ob sich die IP eines zulässigen Endgerätes geändert hat und passt dynamisch
die FW Regel an.  Nutze ich nicht für SSH aber für andere Services (Zugang zu WebCams, etc.).
Die FW Lösung der Fritzbox eignet sich hierfür leider aber nur bedingt ....

Gruß, Marc

[Schorsch]

Nee, MAC lässt sich auch leicht spoofen. Ich hänge kein Debian direkt per ssh ins Netz, auch nicht mit Schüssel und gleich gar nicht für Root. Bei mir geht's nur per OpenVPN mit Nutzerschlüssel rein. Auf dem Router läuft pfSense u.a. mit Snort

[Wernieman]

Also mal ernsthaft:

Ein normal Abgesicherter ssh-Server ist sicherheitstechnisch besser als ein normaler-VPN-Server.  Dazu ist er noch um einiges einfacher zu konfigurieren!

Und das manko "Nur mit Key" ist auch nicht unbedingt das "gelbe vom Ei". Superviele Webserver werden über ssh administriert, vpn ist da doch eher selten im Einsatz. Und wie alt ist die letzte Sicherheitslücke von ssh? .... und als Kontrast dazu: Wann kam die letzte Sicherheitslücke eines vpn raus?

Also im Zweifel lieber ssh als vpn.

Grundsätzlich natürlich:
Egal ob ssh oder vpn, alles hängt dann an "sauberen" Passwörtern. Und eventuelle Blockaden bei Passwortprüfungen (fail2ban o.Ä. Produkte)

[justme1968]

hier geht gerade einiges durcheinander.

egal ob vpn oder ssh: das ein normaler hacker die verschlösselung knackt ist sehr unwahrscheinlich. zumal z.b. openvpn und ssh die gleichen/ähnliche methoden verwenden.

den zugang mit einer user/password kombination zu sicher statt einer public key authentifizierung ist sträflicher leichtsinn. egal ob für vpn oder ssh. egal wie gut das password (das du ja auch noch praktikabel eingeben musst) ist: es ist es um längen schlechter als als jedes zertifikat oder public key.

wenn du deinen key für den zugang zusätzlich mit einem password sicherst schützt das gegen den diebstahl des gerätest bzw. des keys. wie groß der schutz ist ist ansichtssache.

gruss
  andre

[betateilchen]

hey andre, da hat Dir aber heute mächtig die Grammatik in die Suppe gespuckt. Ich musste Deinen Beitrag echt dreimal lesen, um ihn zu verstehen 

[justme1968]

ich hab zwar nicht ausgeschlafen aber sooo schlimm war es doch garnicht

[Zephyr]

Da wir vermutlich alle keine Sicherheitsexperten sind, führt uns die Diskussion um Für und Wider SSH oder VPN nicht der Fragestellung von Hannes an's Ziel.

Wenn man SSH richtig konfiguriert, kann man das bestimmt nach außen durchleiten.
VPN hat halt den großen Vorteil, dass man von unterwegs aus alle Server mit allen Funktionen bedienen kann. Häufig möchte ich doch gar nicht am Unterbau meines FHEM-Servers schrauben, sondern über die Weboberfläche etwas ändern, einstellen oder prüfen.
Da hilft mir dann auch der durchgeleitete SSH-Zugang primär nicht weiter.

Ich plädiere für solche Dinge eher für VPN-Zugänge.

Viele Grüße
Zephyr

[Wernieman]

Nur mal am Rande:

ssh ist mit Portforwarding innerhalb von ssh durchaus schon als "mini-VPN" zu sehen ....

[Franz74]

Hallo,

jeder Linux Server wird per SSH Administriert und ssh gilt wenn es mit einem 2048bit Schlüssel welcher heute Standard ist Verschlüsselt nach Stand der Technik als Sicher.

SSH Tunnel sind eine Super sache für Temporäre Verbindungen!

Franz

[betateilchen]

ich geh mal eben Popcorn holen, der Thread hat echt Potenzial 

[Zephyr]

ich geh mal eben Popcorn holen, der Thread hat echt Potenzial 

Warum das?

[AHA1805]

Hallo

vielen Dank für die vielen interessanten Beiträge.
Man merkt, dass das technische Niveau an Kompetenz in diesem Forum sehr hoch ist.
Generell dachte ich, sehr sicherheitsbewust zu sein, aber wenn ich das lese merke ich schon das sich viele Leute noch viel mehr Gedanken darüber machen.
Mir war nicht bewusst, dass man an dem SSH Server was einstellen kann, dachte das dieser von Grund aus save ist, wenn man ein vernünftiges Kennwort verwendet.
Auch die Nutzung eines Schlüssels bei vpn mit fritzbox ist mir neu.

Das schlimmste ist aber, dass es anscheinend Mittel und Wege gibt um zum Beispiel einen SSH, vpn welcher nur mit Passwort geschützt ist zu knacken, oder habe ich das falsch verstanden?
Ich war bisher der Meinung, wenn ich einen SSH bzw VPN mit einem vernünftigen 8 stelligen Kennwort schütze genug der Sicherheit kund getan habe.

Zusätzlich verstehe ich nicht warum man sich nicht mit root rechten remote am SSH einloggen sollte.
Ich denke der SSH Zugang sowieso nur offen sein sollte wenn er 100% save ist.
Das hat ja den Scharm, dass ich dann einen Tunnel einstellen kann, wenn mir danach ich.
Kann so z.B. aus dem Firmennetz wo nur zwei Ports ins Internet freigegeben sind (8080 & 443) fhem durch den Tunnel über der Browser anschauen und mit telnet konfigurieren, oder auch mal einen Prozess starten oder abschießen, oder via rdp meiner Frau am Rechner helfen, oder auf den homeserver verbinden, oder ....


Beim SSH muss ich mal schauen wie man man eine Schlüssel Datei erstellt und wo man die Stärke des Schlüssels einstellt.
Und wenn dann würde ich gerne den BBB auf dem fhem läuft auch als SSH Server nutzen.
Hatte früher mal meine AppleTV Box als SSH Server benutzt, aber da weiß ich bezüglich Sicherheit noch weniger, welche Version darauf läuft und was die Jailbreaker sonst noch für backdoors eingebaut haben.
Wo würdet ihr vorschlagen, gibt es eine gute Dokumentation zur sicheren Nutzung eines SSH (ab besten in deutsch )
Evtl Diplomarbeit etc. ...
Den VPN Zugang der Fritz Box nutze ich bisher auch nur mit Kennwort.


Schöne grüße
und erfolgreichen Arbeitstag
Hannes

[Wernieman]

Normalerweise brauchst Du User + Kennwort, bzw. User + Key um in ein VPN und/oder ssh reinzukommen. Wenn jetzt "root" darf, weiß der Angreifer schon mal 50%. Außerdem sollte man externe ssh wirklich nur auf bestimmte "User" erlauben. Wenn ich mir hier mein logfile ansehe, was so auf ssh Probiert wird: root, oracle, test .....

Das zusätzlich es immer gut ist, nicht als root, sondern als "Normalo" auf einem System zu arbeiten ist ein anderes "Ding"

[justme1968]

schau mal ins syslog eines rechners der per ssh frei im internet erreichbar ist. wenn du siehst wie viele fehlgeschlagene zugriffsversuche dort mit user/password athentifizierung protokolliert werden wirst du nie mehr auf die verrückte idee kommen einen frei zugänglichen rechner per password sichern zu wollen.

[Wernieman]

Also ... ob ein gutes Passwort schlechter als ein "guter" key ... und ich schaue ins Log, bzw. lasse per Deamon schauen (eben fail2ban). Aber das sollte man auch bei VPN und/oder key- ...

Also ... wenn Du Dich auf "deinen" key verlässt ... dann viel Spaß )

[justme1968]

ja. das beste password ist schlechter als (fast jeder) key. das solltest du schon merken wenn du nur die reine länge vergleichst.

ein aktuell als sicher angesehener key ist 2048bit lang.

dein password wenn man 16 zeichen ansetzt und die sehr großzügige verwendung von sonderzeichen annimmt etwa 100bit.

das ist ein faktor von über 20 unterschied. jedes bit mehr verdoppelt die zeit die ein brute force angriff durchschnittlich braucht.

dein passwort ist also selbst im besten fall hoffnungslos unterlegen.

und es gibt noch eine ganze reihe gründe mehr die dagegen sprechen ein password statt einem key zu verwenden.

das dein system noch nicht gehackt wurde liegt weniger an deinem ach so tollen password sonder daran das es nicht interessant genug ist mehr als ein paar script kiddies die nebenbei ein paar dictionary passwörter probieren anzulocken.

[betateilchen]

schau mal ins syslog eines rechners der per ssh frei im internet erreichbar ist.

März 2014...

Code Auswählen Erweitern


2014-03-01 04:45:59,341 fail2ban.actions: WARNING [ssh] Ban 195.
2014-03-01 09:37:14,253 fail2ban.actions: WARNING [ssh] Ban 5.
2014-03-01 11:53:31,630 fail2ban.actions: WARNING [ssh] Ban 61.
2014-03-01 14:37:27,020 fail2ban.actions: WARNING [ssh] Ban 58.
2014-03-02 09:46:09,703 fail2ban.actions: WARNING [ssh] Ban 176.
2014-03-02 14:58:36,499 fail2ban.actions: WARNING [ssh] Ban 82.
2014-03-02 15:19:31,639 fail2ban.actions: WARNING [ssh] Ban 95.
2014-03-03 05:44:34,981 fail2ban.actions: WARNING [ssh] Ban 121.
2014-03-03 15:52:46,918 fail2ban.actions: WARNING [ssh] Ban 217.
2014-03-04 12:06:31,601 fail2ban.actions: WARNING [ssh] Ban 180.
2014-03-04 12:48:48,829 fail2ban.actions: WARNING [ssh] Ban 202.
2014-03-05 00:13:49,961 fail2ban.actions: WARNING [ssh] Ban 124.
2014-03-05 03:07:20,818 fail2ban.actions: WARNING [ssh] Ban 113.
2014-03-05 10:55:12,776 fail2ban.actions: WARNING [ssh] Ban 78.
2014-03-05 16:02:39,541 fail2ban.actions: WARNING [ssh] Ban 200.
2014-03-05 22:38:23,260 fail2ban.actions: WARNING [ssh] Ban 60.
2014-03-06 05:48:24,861 fail2ban.actions: WARNING [ssh] Ban 88.
2014-03-06 06:01:41,466 fail2ban.actions: WARNING [ssh] Ban 69.
2014-03-06 13:42:29,139 fail2ban.actions: WARNING [ssh] Ban 60.
2014-03-06 15:06:00,809 fail2ban.actions: WARNING [ssh] Ban 61.
2014-03-06 19:01:16,538 fail2ban.actions: WARNING [ssh] Ban 61.
2014-03-06 23:12:41,232 fail2ban.actions: WARNING [ssh] Ban 80.
2014-03-07 09:24:43,847 fail2ban.actions: WARNING [ssh] Ban 188.
2014-03-07 15:19:58,059 fail2ban.actions: WARNING [ssh] Ban 49.
2014-03-08 03:54:38,915 fail2ban.actions: WARNING [ssh] Ban 199.
2014-03-08 04:11:15,440 fail2ban.actions: WARNING [ssh] Ban 113.
2014-03-08 04:51:39,504 fail2ban.actions: WARNING [ssh] Ban 189.
2014-03-08 05:47:49,561 fail2ban.actions: WARNING [ssh] Ban 70.
2014-03-08 23:14:29,750 fail2ban.actions: WARNING [ssh] Ban 85.
2014-03-12 03:09:00,066 fail2ban.actions: WARNING [ssh] Ban 118.
2014-03-14 23:25:11,178 fail2ban.actions: WARNING [ssh] Ban 1.
2014-03-17 08:29:18,245 fail2ban.actions: WARNING [ssh] Ban 1.
2014-03-25 00:19:35,498 fail2ban.actions: WARNING [ssh] Ban 1.
2014-03-25 08:51:26,717 fail2ban.actions: WARNING [ssh] Ban 1.
2014-03-25 19:25:55,002 fail2ban.actions: WARNING [ssh] Ban 1.
2014-03-27 20:52:38,264 fail2ban.actions: WARNING [ssh] Ban 85.
2014-03-28 01:11:11,341 fail2ban.actions: WARNING [ssh] Ban 1.
2014-03-28 06:58:57,045 fail2ban.actions: WARNING [ssh] Ban 116.


Interessanterweise sind da sogar IP Adressen aus dem gleichen Rechenzentrum dabei

[Wernieman]

Dafür musst Du immer Deinen key Dabei haben ;o)

[betateilchen]

hä? Der ist doch im Client hinterlegt.

[Wernieman]

Wenn Du einen anderen Rechner verwendest, da.. ..... ;o)

Ich hoffe, Du hast eine Sicherheitskopie Deines key außerhalb Deines Rechners? So das bei einem HW-Defekt Du trotzdem noch per ssh verbinden kannst?

[justme1968]

jeder client hat einen eigenen key und im server ist hinterlegt welcher client darf.

und für wechselnde recher ist es problemlos möglich das ganze per usb stick bei sich zu tragen.

[betateilchen]

jeder client hat einen eigenen key und im server ist hinterlegt welcher client darf.

So siehts aus.

Offenbar haben manche Leute das Prinzip einer solchen Schlüsselverwaltung und -benutzung immer noch nicht wirklich verstanden

[Wernieman]

Sorry aber alls hat seine Vor und Nachteile .....

(Und glaube mir, ich habe es verstanden ...)

Macht aber lieber nicht die anderen "Anfänger" hier verrückt.

P.S. Ich hoffe, Ihr habt dann JEDEN key mit einer eigenen Passphrade gesichert?? *griiiiins*