u08154711
26.08.2024, aktualisiert um 18:46:20 Uhr
view1290
view9
0
Goto Top

Sicherheitsstufen des SSH Logins

gelöstFrageIT-SicherheitstippsUbuntuWebserver
Hallo,

ich habe bisher meinen SSH Login so abgesichert:

  • Ander SSH Port
  • Kein Root erlaubt
  • Login mit Key + Password, dann User PW, dann 2FA Key.

"Bombensicher", aber an der ein oder anderen Stelle limitierend, wenn man z.B. automatisch was von Server zu Server schieben will.

Was würdet Ihr empfehlen? Nur Key ohne Passphrase und Nutzer PW?

Danke
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 91003476752

Url: https://administrator.de/forum/sicherheitsstufen-des-ssh-logins-91003476752.html

Ausgedruckt am: 15.01.2025 um 06:01 Uhr

9 Kommentare
Neuester Kommentar
Goto Top
StefanKittel
StefanKittel 26.08.2024 um 10:29:50 Uhr
Goto Top
Moin,

Das kommt, wie immer darauf an was das für Server sind und wie schutzbedürftig der Inhalt ist.

Bei den meisten Web-Server (Webseiten und Co) nutze ich die Kombination aus:
- Andere Port (reduziert die fehlerhaften Anmeldungen im Log)
- Anmeldung nur mit Schlüssel (Kennwort nur per Konsole)
- Root ist erlaubt

Server mit wichtigeren Daten stehen hinter einem VPN, IP-Filter oder/und einer WAF.
Damit kommt man gar nicht an den SSH Port von extern.

Stefan
heart1
tagol01
tagol01 26.08.2024 um 10:49:38 Uhr
Goto Top
Hallo

wie @steffankittel schon geschrieben hat:

Admin Ports sind immer nur von bestimmten IPs erreichbar!
U08154711
U08154711 26.08.2024 um 11:01:52 Uhr
Goto Top
Danke, aber widerspricht sich das nicht? Nur mit Schlüssel und dann doch PW, oder was meinst Du?
Anmeldung nur mit Schlüssel (Kennwort nur per Konsole)
aqui
Lösung aqui 26.08.2024 aktualisiert um 11:17:55 Uhr
Goto Top
Nur mit Schlüssel und dann doch PW
Er meint die "Passphrase" um dem Key zu schützen!
Guckst du auch hier wo alles en Detail erklärt ist:
https://www.heise.de/select/ct/2022/21/2223709091059562015
Root Login sollte man keinesfalls erlauben per SSH. Den Admin User sollte man in die sudoers legen so das der später mit sudo su root Rechte erlangen kann.
Das reicht in der Regel.
Wie man ein einfaches IPsec VPN mit allen bordeigenen VPN Clients auf den Server aufsetzt erklärt dir dieses Tutorial.
HanTrio
HanTrio 26.08.2024 um 11:15:41 Uhr
Goto Top
Quote from @U08154711:

Danke, aber widerspricht sich das nicht? Nur mit Schlüssel und dann doch PW, oder was meinst Du?
Anmeldung nur mit Schlüssel (Kennwort nur per Konsole)

Bei SSH (also einem remote Login) nur mit Schlüssel, bei lokalem Login (also "direkt am Gerät") hingegen mit Passwort - so würde ich das jetzt lesen.
StefanKittel
Lösung StefanKittel 26.08.2024 um 11:16:30 Uhr
Goto Top
Zitat von @U08154711:
Danke, aber widerspricht sich das nicht? Nur mit Schlüssel und dann doch PW, oder was meinst Du?
Anmeldung nur mit Schlüssel (Kennwort nur per Konsole)

Im WAN/LAN Anmeldung an SSH nur mit PKI (Schlüssel).
Am Monitor und Tastatur direkt am Server dann per Kennwort.

Stefan
U08154711
U08154711 26.08.2024 um 11:30:25 Uhr
Goto Top
Ok, jetzt verstanden.
LordGurke
LordGurke 26.08.2024 um 12:02:58 Uhr
Goto Top
Zitat von @aqui:

Root Login sollte man keinesfalls erlauben per SSH. Den Admin User sollte man in die sudoers legen so das der später mit sudo su root Rechte erlangen kann.

Ehrlich gesagt hatten wir in den letzten Jahren einige schwere Lücken in sudo, weshalb ich das aus Sicherheitsgründen bei mir nicht mehr installiere.
Zuletzt beispielsweise CVE-2021-3156.

Wenn sich root nur per Key anmelden kann, ist das meiner Meinung nach sicher genug — denn einen 256 Bit ed25519-Key errät man nicht. Dann kann man sich sudo komplett sparen ohne Sicherheitseinbußen.

Bei einem anderen SSH-Port sei übrigens angemerkt, dass dieser unter 1024 liegen sollte — denn sonst könnten sich unpriviligierte Fake-SSH-Daemons bei einem Reboot an diesen Port binden (z.B. durch @reboot-crontab-einträge eines komprommitierten Nutzers) und damit höhere Rechte bekommen.
Wird ein Port unter 1024 benutzt, kann der nur durch root gebunden werden.
Alternativ kann man SELinux verwenden um den neuen SSH-Port nur für bestimmte Labels verfügbar zu machen
heart3
U08154711
U08154711 27.08.2024 um 08:24:14 Uhr
Goto Top
Danke an alle
gelöstFrageIT-SicherheitstippsUbuntuWebserver
Mehr von U08154711U08154711Win11 24H2 Force UpdateU08154711 - 3 KommentareU08154711Youtube vs AdguardHomeU08154711 - 15 KommentareU08154711Flac Dateien mit iTunes auf iphone 15 (ios 18.xx)U08154711 - 17 KommentareU08154711Frage zu Wireguard config: DNS und allowed IPsU08154711 - 16 Kommentare
Heiß diskutiert
MysticFoxDEEPA - Laut der Gematik ist die EPA doch sicher - weil Hacken verbotenMysticFoxDE - 55 KommentarerrobbyySpoofing mit Originalmails?rrobbyy - 31 KommentareMysticFoxDEBetriebssysteme - Bald nur noch mit integriertem JugendschutzMysticFoxDE - 30 KommentareAndreavonGolemDeWo kommuniziert ihr im Netz und was konsumiert ihr?AndreavonGolemDe - 30 KommentareAbstrackterSystemimperatorLaptop Partitionierung auflösen und SSD vergrößernAbstrackterSystemimperator - 23 KommentareMarabuntaWindows Server 2008R2 NetzwerkausfallMarabunta - 22 KommentaremirdochegalWin11 Taskleiste Oben - "Hack" bekannt?mirdochegal - 21 KommentareashnodBRB - und wie geht es euch so?ashnod - 21 KommentareSarekHLVollwertiger Unifi-Switch?SarekHL - 20 KommentareMatzewoCloud Backuplösung für ein sehr kleines Unternehmen gesuchtMatzewo - 18 Kommentaredaho2016Adguard Home - Testen ob es funktioniert?daho2016 - 16 KommentareNeoniumServerlift - SwitchliftNeonium - 16 Kommentare