Debian SSH im Internet als Zugang verwenden?

[Zephyr]

ich geh mal eben Popcorn holen, der Thread hat echt Potenzial 

Warum das?

[AHA1805]

Hallo

vielen Dank für die vielen interessanten Beiträge.
Man merkt, dass das technische Niveau an Kompetenz in diesem Forum sehr hoch ist.
Generell dachte ich, sehr sicherheitsbewust zu sein, aber wenn ich das lese merke ich schon das sich viele Leute noch viel mehr Gedanken darüber machen.
Mir war nicht bewusst, dass man an dem SSH Server was einstellen kann, dachte das dieser von Grund aus save ist, wenn man ein vernünftiges Kennwort verwendet.
Auch die Nutzung eines Schlüssels bei vpn mit fritzbox ist mir neu.

Das schlimmste ist aber, dass es anscheinend Mittel und Wege gibt um zum Beispiel einen SSH, vpn welcher nur mit Passwort geschützt ist zu knacken, oder habe ich das falsch verstanden?
Ich war bisher der Meinung, wenn ich einen SSH bzw VPN mit einem vernünftigen 8 stelligen Kennwort schütze genug der Sicherheit kund getan habe.

Zusätzlich verstehe ich nicht warum man sich nicht mit root rechten remote am SSH einloggen sollte.
Ich denke der SSH Zugang sowieso nur offen sein sollte wenn er 100% save ist.
Das hat ja den Scharm, dass ich dann einen Tunnel einstellen kann, wenn mir danach ich.
Kann so z.B. aus dem Firmennetz wo nur zwei Ports ins Internet freigegeben sind (8080 & 443) fhem durch den Tunnel über der Browser anschauen und mit telnet konfigurieren, oder auch mal einen Prozess starten oder abschießen, oder via rdp meiner Frau am Rechner helfen, oder auf den homeserver verbinden, oder ....


Beim SSH muss ich mal schauen wie man man eine Schlüssel Datei erstellt und wo man die Stärke des Schlüssels einstellt.
Und wenn dann würde ich gerne den BBB auf dem fhem läuft auch als SSH Server nutzen.
Hatte früher mal meine AppleTV Box als SSH Server benutzt, aber da weiß ich bezüglich Sicherheit noch weniger, welche Version darauf läuft und was die Jailbreaker sonst noch für backdoors eingebaut haben.
Wo würdet ihr vorschlagen, gibt es eine gute Dokumentation zur sicheren Nutzung eines SSH (ab besten in deutsch )
Evtl Diplomarbeit etc. ...
Den VPN Zugang der Fritz Box nutze ich bisher auch nur mit Kennwort.


Schöne grüße
und erfolgreichen Arbeitstag
Hannes

[Wernieman]

Normalerweise brauchst Du User + Kennwort, bzw. User + Key um in ein VPN und/oder ssh reinzukommen. Wenn jetzt "root" darf, weiß der Angreifer schon mal 50%. Außerdem sollte man externe ssh wirklich nur auf bestimmte "User" erlauben. Wenn ich mir hier mein logfile ansehe, was so auf ssh Probiert wird: root, oracle, test .....

Das zusätzlich es immer gut ist, nicht als root, sondern als "Normalo" auf einem System zu arbeiten ist ein anderes "Ding"

[justme1968]

schau mal ins syslog eines rechners der per ssh frei im internet erreichbar ist. wenn du siehst wie viele fehlgeschlagene zugriffsversuche dort mit user/password athentifizierung protokolliert werden wirst du nie mehr auf die verrückte idee kommen einen frei zugänglichen rechner per password sichern zu wollen.

[Wernieman]

Also ... ob ein gutes Passwort schlechter als ein "guter" key ... und ich schaue ins Log, bzw. lasse per Deamon schauen (eben fail2ban). Aber das sollte man auch bei VPN und/oder key- ...

Also ... wenn Du Dich auf "deinen" key verlässt ... dann viel Spaß )

[justme1968]

ja. das beste password ist schlechter als (fast jeder) key. das solltest du schon merken wenn du nur die reine länge vergleichst.

ein aktuell als sicher angesehener key ist 2048bit lang.

dein password wenn man 16 zeichen ansetzt und die sehr großzügige verwendung von sonderzeichen annimmt etwa 100bit.

das ist ein faktor von über 20 unterschied. jedes bit mehr verdoppelt die zeit die ein brute force angriff durchschnittlich braucht.

dein passwort ist also selbst im besten fall hoffnungslos unterlegen.

und es gibt noch eine ganze reihe gründe mehr die dagegen sprechen ein password statt einem key zu verwenden.

das dein system noch nicht gehackt wurde liegt weniger an deinem ach so tollen password sonder daran das es nicht interessant genug ist mehr als ein paar script kiddies die nebenbei ein paar dictionary passwörter probieren anzulocken.

[betateilchen]

schau mal ins syslog eines rechners der per ssh frei im internet erreichbar ist.

März 2014...

Code Auswählen Erweitern


2014-03-01 04:45:59,341 fail2ban.actions: WARNING [ssh] Ban 195.
2014-03-01 09:37:14,253 fail2ban.actions: WARNING [ssh] Ban 5.
2014-03-01 11:53:31,630 fail2ban.actions: WARNING [ssh] Ban 61.
2014-03-01 14:37:27,020 fail2ban.actions: WARNING [ssh] Ban 58.
2014-03-02 09:46:09,703 fail2ban.actions: WARNING [ssh] Ban 176.
2014-03-02 14:58:36,499 fail2ban.actions: WARNING [ssh] Ban 82.
2014-03-02 15:19:31,639 fail2ban.actions: WARNING [ssh] Ban 95.
2014-03-03 05:44:34,981 fail2ban.actions: WARNING [ssh] Ban 121.
2014-03-03 15:52:46,918 fail2ban.actions: WARNING [ssh] Ban 217.
2014-03-04 12:06:31,601 fail2ban.actions: WARNING [ssh] Ban 180.
2014-03-04 12:48:48,829 fail2ban.actions: WARNING [ssh] Ban 202.
2014-03-05 00:13:49,961 fail2ban.actions: WARNING [ssh] Ban 124.
2014-03-05 03:07:20,818 fail2ban.actions: WARNING [ssh] Ban 113.
2014-03-05 10:55:12,776 fail2ban.actions: WARNING [ssh] Ban 78.
2014-03-05 16:02:39,541 fail2ban.actions: WARNING [ssh] Ban 200.
2014-03-05 22:38:23,260 fail2ban.actions: WARNING [ssh] Ban 60.
2014-03-06 05:48:24,861 fail2ban.actions: WARNING [ssh] Ban 88.
2014-03-06 06:01:41,466 fail2ban.actions: WARNING [ssh] Ban 69.
2014-03-06 13:42:29,139 fail2ban.actions: WARNING [ssh] Ban 60.
2014-03-06 15:06:00,809 fail2ban.actions: WARNING [ssh] Ban 61.
2014-03-06 19:01:16,538 fail2ban.actions: WARNING [ssh] Ban 61.
2014-03-06 23:12:41,232 fail2ban.actions: WARNING [ssh] Ban 80.
2014-03-07 09:24:43,847 fail2ban.actions: WARNING [ssh] Ban 188.
2014-03-07 15:19:58,059 fail2ban.actions: WARNING [ssh] Ban 49.
2014-03-08 03:54:38,915 fail2ban.actions: WARNING [ssh] Ban 199.
2014-03-08 04:11:15,440 fail2ban.actions: WARNING [ssh] Ban 113.
2014-03-08 04:51:39,504 fail2ban.actions: WARNING [ssh] Ban 189.
2014-03-08 05:47:49,561 fail2ban.actions: WARNING [ssh] Ban 70.
2014-03-08 23:14:29,750 fail2ban.actions: WARNING [ssh] Ban 85.
2014-03-12 03:09:00,066 fail2ban.actions: WARNING [ssh] Ban 118.
2014-03-14 23:25:11,178 fail2ban.actions: WARNING [ssh] Ban 1.
2014-03-17 08:29:18,245 fail2ban.actions: WARNING [ssh] Ban 1.
2014-03-25 00:19:35,498 fail2ban.actions: WARNING [ssh] Ban 1.
2014-03-25 08:51:26,717 fail2ban.actions: WARNING [ssh] Ban 1.
2014-03-25 19:25:55,002 fail2ban.actions: WARNING [ssh] Ban 1.
2014-03-27 20:52:38,264 fail2ban.actions: WARNING [ssh] Ban 85.
2014-03-28 01:11:11,341 fail2ban.actions: WARNING [ssh] Ban 1.
2014-03-28 06:58:57,045 fail2ban.actions: WARNING [ssh] Ban 116.


Interessanterweise sind da sogar IP Adressen aus dem gleichen Rechenzentrum dabei

[Wernieman]

Dafür musst Du immer Deinen key Dabei haben ;o)

[betateilchen]

hä? Der ist doch im Client hinterlegt.

[Wernieman]

Wenn Du einen anderen Rechner verwendest, da.. ..... ;o)

Ich hoffe, Du hast eine Sicherheitskopie Deines key außerhalb Deines Rechners? So das bei einem HW-Defekt Du trotzdem noch per ssh verbinden kannst?

[justme1968]

jeder client hat einen eigenen key und im server ist hinterlegt welcher client darf.

und für wechselnde recher ist es problemlos möglich das ganze per usb stick bei sich zu tragen.

[betateilchen]

jeder client hat einen eigenen key und im server ist hinterlegt welcher client darf.

So siehts aus.

Offenbar haben manche Leute das Prinzip einer solchen Schlüsselverwaltung und -benutzung immer noch nicht wirklich verstanden

[Wernieman]

Sorry aber alls hat seine Vor und Nachteile .....

(Und glaube mir, ich habe es verstanden ...)

Macht aber lieber nicht die anderen "Anfänger" hier verrückt.

P.S. Ich hoffe, Ihr habt dann JEDEN key mit einer eigenen Passphrade gesichert?? *griiiiins*