-
SSH Login ... WebLogin?
Autor: AES2048 13.04.10 - 18:54
Meinen die jetzt mit Login eine SecureShell, oder handelt es sich um ein Weblogin?
Wer auf seinem öffentlich zugänglichen Server noch mit Passwörtern auf der SecureShell arbeitet, der hat Bequemlichkeit der Sicherheit vorgezogen.
Das Public-Key Verfahren gibt es nicht umsonst ...
Aber, ich kann mir aber irgendwie nicht vorstellen, dass Leute mit so viel Ahnung von der Materie sich so einen Bock schießen. :) -
Re: SSH Login ... WebLogin?
Autor: Smut 14.04.10 - 08:48
Auch wenn man mit Passwörtern bei SSH arbeitet kann man BruteForce Attacken deutlich erschweren. Zum Beispiel durch Portänderungen, Fail2ban oder ähnliches.
-
Re: SSH Login ... WebLogin?
Autor: Schnarchnase 14.04.10 - 12:09
Smut schrieb:
--------------------------------------------------------------------------------
> Auch wenn man mit Passwörtern bei SSH arbeitet kann man BruteForce
> Attacken deutlich erschweren. Zum Beispiel durch Portänderungen, Fail2ban
> oder ähnliches.
Bitte nicht fail2ban, das ist die denkbar ungünstigste Variante. Erstens wird das Skript nur in regelmäßigen Zeitabständen ausgeführt, in der Zwischenzeit kann der Angreifer nach Lust und Laune ausprobieren was er will. Zweitens werden die IPs permanent gebannt, das ist in Zeiten der dynamischen IP-Vergabe mehr als unglücklich. Drittens kann jemand mit gespooften IP-Adressen dein SSH lahmlegen.
Denkbar wären meiner Meinung nach Iptables-Regeln um häufige Verbindungen in kurzem Zeitabstand zu blockieren (Nahchteil: der Angreifer bekommt das mit), oder zum Beispiel mit pam_tally nach falscher Passworteingabe das Login für eine bestimmte Zeit sperren (Für den Angreifer sieht es weiterhin aus, als hätte er ein falsches Passwort eingegeben), die Wartezeit könnte nach jedem erneuten Versuche entsprechend verlängert werden. Als erste Hürde wäre Portknocking interessant.
Am sichersten ist es immer noch das Login nur über Public-Key-Authentifizierung zu erlauben.
1 mal bearbeitet, zuletzt am 14.04.10 12:11 durch Schnarchnase.



