Abo
  1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Cockpit angesehen: Die einfache…

Sicherheit?!?

  1. Thema

Neues Thema Ansicht wechseln


  1. Sicherheit?!?

    Autor: tschundeee 09.07.15 - 10:15

    "If you already have Cockpit on your server, point your web browser to: https://ip-address-of-machine:9090" Quelle: http://cockpit-project.org/running.html

    Jeder halbwegs intelligente Admin erlaubt nur zertifikatsbasierte logins. Meine Server bekommen minimum 20 "Angriffe" pro Tag von Chinesen, Russen etc, die versuchen sich mit irgendwelchen SSH Login-Passwort Kombinationen anzumelden. Wenn man so ein Admin Panel auf Port XYZ fürs Internet verfügbar laufen lässt, hat man einen neuen Angriffspunkt für genau diese Brute-Force Login Skripte. Okay die Wollen ein Zertifikat für den Browser aber wie sehr will man jetzt auf die Sicherheit dieses Panels vertrauen?

    So ein Web-Admin Panel würde ich nur über den localhost verfügbar machen. Bedeutet, man kann sich dann nur bei aktiver SSH Verbindung drauf einloggen.

    Wie steht ihr zu dem Thema?



    1 mal bearbeitet, zuletzt am 09.07.15 10:22 durch tschundeee.

  2. Re: Sicherheit?!?

    Autor: dimorog 09.07.15 - 10:22

    Korrekt!

    1. Wenn nicht unbedingt notwendig, den Port von 80 bzw. 443 auf einen anderen Port legen - Bots sind dadurch schon mal nahezu komplett eingedämmt.

    2. Sowas auf localhost legen und via ssh local port forwarding drauf zugreifen ( ssh gehört auch auf einen anderen Port )

  3. Re: Sicherheit?!?

    Autor: fuzzy 09.07.15 - 10:32

    dimorog schrieb:
    --------------------------------------------------------------------------------
    > 2. Sowas auf localhost legen und via ssh local port forwarding drauf
    > zugreifen ( ssh gehört auch auf einen anderen Port )

    Das macht all die Bequemlichkeit, die sowas bringen soll, vollkommen zunichte. Außerdem machst du dich damit vom SSH-Service abhängig.

    Abgesehen davon sind Brute-Force-Angriffe vollkommen harmlos, wenn das Passwort vernünftig ist und die Anmeldung genug verzögert pro Versuch.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  4. Re: Sicherheit?!?

    Autor: dimorog 09.07.15 - 10:44

    Komfort und Sicherheit haben noch nie wirklich gut zueinander gepasst, jeder hat da seine Präferenzen. Für mich ist Sicherheit wichtiger.

    Für mich persönlich ist es kein Mehraufwand einen SSH Tunnel zu erstellen damit ich auf die Oberfläche kann.

    Von SSH abhängig machen, ja schon - aber wenn SSH nicht funktioniert hast du i.d.R. ganz andere Probleme als das SSH nicht funktioniert :D - der SSH-Service ist robuster als der HTTP-Service - würde ich jetzt einfach mal behaupten

  5. Re: Sicherheit?!?

    Autor: nicoledos 09.07.15 - 10:45

    So pauschal lässt sich das nicht sagen. Das hängt doch stark vom Einsatzszenario ab. Sei es ein Abteilungsserver, die 300km entfernte Filiale, die dicke Kiste im Keller, ein internes Informationsportal für Mitarbeiter oder der Webshop.

    Der Bedarf für Fernadministration besteht muss nun mal irgendwie umgesetzt werden. Hier sind derartige Tools in einem eigenen Subnetz und nicht über normale IPs erreichbar, auch nicht über localhost.

  6. Re: Sicherheit?!?

    Autor: derats 09.07.15 - 11:15

    tschundeee schrieb:
    --------------------------------------------------------------------------------
    > Wie steht ihr zu dem Thema?

    Du kannst recht problemlos two-way auth mit HTTPS machen. Sogar so, dass jemand mit einem kompromittierten Server keine Zugangszertifikate ausstellen kann. Grob: Mini-Root-CA (nur für die Domain). Pubkey von der haben Server und Client. Client hat ein davon signiertes Cert (sein Zugangscert), Server hat eins, Server prüft Clientcert gegen die Mini-CA, Client pinnt das Server-Cert (es gibt mE keine Möglichkeit zu sagen "das Servercert muss von der gleichen CA abstammen wie das Clientcert")

  7. Re: Sicherheit?!?

    Autor: RaZZE 09.07.15 - 11:40

    tschundeee schrieb:
    --------------------------------------------------------------------------------
    > "If you already have Cockpit on your server, point your web browser to:
    > ip-address-of-machine" Quelle: cockpit-project.org
    >
    > Jeder halbwegs intelligente Admin erlaubt nur zertifikatsbasierte logins.
    > Meine Server bekommen minimum 20 "Angriffe" pro Tag von Chinesen, Russen
    > etc, die versuchen sich mit irgendwelchen SSH Login-Passwort Kombinationen
    > anzumelden. Wenn man so ein Admin Panel auf Port XYZ fürs Internet
    > verfügbar laufen lässt, hat man einen neuen Angriffspunkt für genau diese
    > Brute-Force Login Skripte. Okay die Wollen ein Zertifikat für den Browser
    > aber wie sehr will man jetzt auf die Sicherheit dieses Panels vertrauen?
    >
    > So ein Web-Admin Panel würde ich nur über den localhost verfügbar machen.
    > Bedeutet, man kann sich dann nur bei aktiver SSH Verbindung drauf
    > einloggen.
    >
    > Wie steht ihr zu dem Thema?

    Ich gebe solche Geschichten nie nach außen hin raus.

    Mal als Beispiel die Webinterface gedönse von unseren Proxmox Cluster.. ist auf 127.0.0.1 gebindet und wird dann einfach über SSH -L ein tunnel gebohrt.
    Fertig aus.

  8. Re: Sicherheit?!?

    Autor: MarkusDashy 09.07.15 - 11:58

    Ich halte das ganze für großen Blödsinn.
    Wieso sollte ich mir noch Zusatzsoftware auf den Server packen, welche noch mehr Angriffsfläche von außen bietet, mir aber im grunde genommen keinen wirklichen Mehrwert gegenüber SSH bietet.
    Etwa weil es schick aussieht und "leicht zu bedienen ist"?
    In Wirklichkeit ist es doch so das mir die Oberfläche nur rudimenäre Funktionen liefert und ich letzten Endes doch wieder auf SSH zurückgreifen muss wenn es ans ein gemachte geht.

    Eine solche Lösung kann ich mir lediglich vorstellen, wenn es über einen SSH Clienten mitgeliefert wird.
    Sprich ein Putty mit dem ich mehrere Server gleichzeitig verwalten kann, mir die wichtigsten Infos grafisch aufbereitet immer zur Verfügung stellt und es einige Standarte Funktionen gibt die mittels "one click" über SSH automatisiert am Server ausgeführt werden.

    Da benötige ich dann serverseitig auch keine zusätzliche Software mehr, welche die Kiste ohnehin nur anfälliger macht.

    Soweit ich mich entsinne gab es vor ein paar Jahren sogar einen solchen Ansatz von einem Studenten, nannte sich glaub tinyadmin und war in Java realisiert...



    1 mal bearbeitet, zuletzt am 09.07.15 12:00 durch MarkusDashy.

  9. Re: Sicherheit?!?

    Autor: dabbes 09.07.15 - 14:59

    Für die sinnlosen SSH Logins gibts logwatch, wechles die IPs dann temporär blockt.

  10. Re: Sicherheit?!?

    Autor: DASPRiD 09.07.15 - 15:05

    Oder fail2ban, auch sehr beliebt. Aber Passwort-Logins sollte man meiner Meinung nach allgemein immer unterbinden.

  11. Re: Sicherheit?!?

    Autor: widdermann 09.07.15 - 15:25

    tschundeee schrieb:
    --------------------------------------------------------------------------------
    > "If you already have Cockpit on your server, point your web browser to:
    > ip-address-of-machine" Quelle: cockpit-project.org
    >
    > Jeder halbwegs intelligente Admin erlaubt nur zertifikatsbasierte logins.

    Seit wann geht über https kein Zertifikatlogin mehr? Hab ich was verpasst?

  12. Re: Sicherheit?!?

    Autor: tingelchen 09.07.15 - 15:31

    > Komfort und Sicherheit haben noch nie wirklich gut zueinander gepasst, jeder hat da
    > seine Präferenzen. Für mich ist Sicherheit wichtiger.
    >
    Nicht zwangsweise :) SSHD auf einen anderen Port als 22 legen und schon ist ruhe. Ob man nun auf Port 22 oder xy verbindet macht ja keinen Unterschied :) Auch können Scripte einem sich wiederholende Schritte automatisieren.

    > Für mich persönlich ist es kein Mehraufwand einen SSH Tunnel zu erstellen damit ich
    > auf die Oberfläche kann.
    >
    Richtig. Ein Desktop Link der auf ein Script verweist, zuerst den Tunnel aufbaut und dann die URL aufruft, startet automatisch den Browser und öffnen die Seite :D

    > Von SSH abhängig machen, ja schon - aber wenn SSH nicht funktioniert hast du
    > i.d.R. ganz andere Probleme als das SSH nicht funktioniert :D
    >
    Jo, vor allem auf Root Servern... da gibt es einige Angebote ohne Konsolenzugang ^^

    > der SSH-Service ist robuster als der HTTP-Service - würde ich jetzt einfach mal
    > behaupten
    >
    Die Behauptung unterschreibe ich zu 100%. Es sind schon einige Services hängen geblieben, aber noch nie der SSH Dämon :D

  13. Re: Sicherheit?!?

    Autor: fuzzy 09.07.15 - 19:16

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Nicht zwangsweise :) SSHD auf einen anderen Port als 22 legen und schon ist
    > ruhe. Ob man nun auf Port 22 oder xy verbindet macht ja keinen Unterschied
    > :) Auch können Scripte einem sich wiederholende Schritte automatisieren.

    Wenn man durch anderer Leute Firewalls durch muss, kann man sich solchen Luxus nicht leisten. Zugegebenermaßen hat man dann natürlich auch mit Port 9090 keine Freude.

    > Die Behauptung unterschreibe ich zu 100%. Es sind schon einige Services
    > hängen geblieben, aber noch nie der SSH Dämon :D

    Es geht um Redundanz. Redundanz ist toll. Den (eigentlich funktionierenden) Server neu starten zu müssen, nur weil SSH vielleicht doch mal versagt hat – not so much.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  14. Re: Sicherheit?!?

    Autor: rugel 09.07.15 - 21:12

    Wenn es nicht gerade die billigsten Hütten sind die zum "Server" erklärt wurden hat man für solche Fälle immer noch einen Out-Of-Band Zugriff (iLO, DRAC usw.) um den SSH Daemon wieder hochzuziehen.
    Den natürlich nur via VPN ;)

  15. Re: Sicherheit?!?

    Autor: User_x 09.07.15 - 22:44

    Nach oben sind bekanntlich keine grenzen gesetzt (ilo, durch firewall etc). Hängt auch davon ab, wieviel last auf der Maschine ist.

    Nehmen wir zentyal oder clearos, kann man damit sparen indem man weniger geschultes personal für einfachere verwaltungsaufgaben in ein prozess einspannt, die eben nichts auf der konsole zu suchen haben und die einem Admin evtl. Eher lästig wären.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. THD - Technische Hochschule Deggendorf, Deggendorf
  2. VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe
  3. Weleda AG, Schwäbisch Gmünd
  4. Dataport, verschiedene Einsatzorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. mit Gaming-Monitoren, z. B. Acer ED323QURA Curved/WQHD/144 Hz für 299€ statt 379€ im...
  2. (u. a. Apple iPhone 6s Plus 32 GB für 299€ und 128 GB für 449€ - Bestpreise!)
  3. (u. a. Nikon D5600 Kit 18-55 mm + Tasche + 16 GB für 444€ statt 525€ ohne Tasche und...
  4. (heute u. a. iRobot Roomba 960 für 399€ statt ca. 460€ im Vergleich)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Fachkräftemangel Freie sind gefragt
  2. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  3. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt

Galaxy Note 10 im Hands on: Samsungs Stift-Smartphone kommt in zwei Größen
Galaxy Note 10 im Hands on
Samsungs Stift-Smartphone kommt in zwei Größen

Samsung hat sein neues Android-Smartphone Galaxy Note 10 präsentiert - erstmals in zwei Versionen: Die Plus-Variante hat ein größeres Display und einen größeren Akku sowie eine zusätzliche ToF-Kamera. Günstig sind sie nicht.
Ein Hands on von Tobias Költzsch

  1. Werbung Samsung bewirbt Galaxy Note 10 auf seinen Smartphones
  2. Smartphone Samsung präsentiert Kamerasensor mit 108 Megapixeln
  3. Galaxy Note 10 Samsung korrigiert Falschinformation zum Edelstahlgehäuse

Nachhaltigkeit: Bauen fürs Klima
Nachhaltigkeit
Bauen fürs Klima

In Städten sind Gebäude für gut die Hälfte der Emissionen von Treibhausgasen verantwortlich, in Metropolen wie London, Los Angeles oder Paris sogar für 70 Prozent. Klimafreundliche Bauten spielen daher eine wichtige Rolle, um die Klimaziele in einer zunehmend urbanisierten Welt zu erreichen.
Ein Bericht von Jan Oliver Löfken

  1. Klimaschutz Großbritannien probt für den Kohleausstieg
  2. Energie Warum Japan auf Wasserstoff setzt

  1. Einrichtungskonzern: Ikea startet eigenen Geschäftsbereich für Smart Home
    Einrichtungskonzern
    Ikea startet eigenen Geschäftsbereich für Smart Home

    Der Einrichtungskonzern Ikea will mit einem eigenen Geschäftsbereich seine Smart-Home-Produkte voranbringen. Das Unternehmen will damit mehr bieten als nur gewöhnliche Möbel.

  2. Zoncolan: Facebook testet 100 Millionen Zeilen Code in 30 Minuten
    Zoncolan
    Facebook testet 100 Millionen Zeilen Code in 30 Minuten

    Das Entwicklerteam von Facebook hat ein eigenes Werkzeug zur statischen Code-Analyse erstellt und stellt nun erstmals Details dazu vor. Das Projekt habe Tausende Sicherheitslücken verhindert.

  3. US-Sanktionen: Huawei soll weitere 90 Tage Aufschub bekommen
    US-Sanktionen
    Huawei soll weitere 90 Tage Aufschub bekommen

    Der chinesische IT-Konzern Huawei bekommt wohl einen weiteren kurzfristigen Aufschub der US-Sanktionen, um weiter bei Zulieferern einkaufen zu können. Damit sollen Kunden von Huawei bedient werden können.


  1. 13:28

  2. 12:27

  3. 11:33

  4. 09:01

  5. 14:28

  6. 13:20

  7. 12:29

  8. 11:36