u08154711
26.08.2024, aktualisiert um 18:46:20 Uhr
view1082
view9
0
Goto Top

Sicherheitsstufen des SSH Logins

gelöstFrageIT-SicherheitstippsUbuntuWebserver
Hallo,

ich habe bisher meinen SSH Login so abgesichert:

  • Ander SSH Port
  • Kein Root erlaubt
  • Login mit Key + Password, dann User PW, dann 2FA Key.

"Bombensicher", aber an der ein oder anderen Stelle limitierend, wenn man z.B. automatisch was von Server zu Server schieben will.

Was würdet Ihr empfehlen? Nur Key ohne Passphrase und Nutzer PW?

Danke
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 91003476752

Url: https://administrator.de/contentid/91003476752

Ausgedruckt am: 26.09.2024 um 23:09 Uhr

9 Kommentare
Neuester Kommentar
Goto Top
StefanKittel
StefanKittel 26.08.2024 um 10:29:50 Uhr
Goto Top
Moin,

Das kommt, wie immer darauf an was das für Server sind und wie schutzbedürftig der Inhalt ist.

Bei den meisten Web-Server (Webseiten und Co) nutze ich die Kombination aus:
- Andere Port (reduziert die fehlerhaften Anmeldungen im Log)
- Anmeldung nur mit Schlüssel (Kennwort nur per Konsole)
- Root ist erlaubt

Server mit wichtigeren Daten stehen hinter einem VPN, IP-Filter oder/und einer WAF.
Damit kommt man gar nicht an den SSH Port von extern.

Stefan
heart1
tagol01
tagol01 26.08.2024 um 10:49:38 Uhr
Goto Top
Hallo

wie @steffankittel schon geschrieben hat:

Admin Ports sind immer nur von bestimmten IPs erreichbar!
U08154711
U08154711 26.08.2024 um 11:01:52 Uhr
Goto Top
Danke, aber widerspricht sich das nicht? Nur mit Schlüssel und dann doch PW, oder was meinst Du?
Anmeldung nur mit Schlüssel (Kennwort nur per Konsole)
aqui
Lösung aqui 26.08.2024 aktualisiert um 11:17:55 Uhr
Goto Top
Nur mit Schlüssel und dann doch PW
Er meint die "Passphrase" um dem Key zu schützen!
Guckst du auch hier wo alles en Detail erklärt ist:
https://www.heise.de/select/ct/2022/21/2223709091059562015
Root Login sollte man keinesfalls erlauben per SSH. Den Admin User sollte man in die sudoers legen so das der später mit sudo su root Rechte erlangen kann.
Das reicht in der Regel.
Wie man ein einfaches IPsec VPN mit allen bordeigenen VPN Clients auf den Server aufsetzt erklärt dir dieses Tutorial.
HanTrio
HanTrio 26.08.2024 um 11:15:41 Uhr
Goto Top
Quote from @U08154711:

Danke, aber widerspricht sich das nicht? Nur mit Schlüssel und dann doch PW, oder was meinst Du?
Anmeldung nur mit Schlüssel (Kennwort nur per Konsole)

Bei SSH (also einem remote Login) nur mit Schlüssel, bei lokalem Login (also "direkt am Gerät") hingegen mit Passwort - so würde ich das jetzt lesen.
StefanKittel
Lösung StefanKittel 26.08.2024 um 11:16:30 Uhr
Goto Top
Zitat von @U08154711:
Danke, aber widerspricht sich das nicht? Nur mit Schlüssel und dann doch PW, oder was meinst Du?
Anmeldung nur mit Schlüssel (Kennwort nur per Konsole)

Im WAN/LAN Anmeldung an SSH nur mit PKI (Schlüssel).
Am Monitor und Tastatur direkt am Server dann per Kennwort.

Stefan
U08154711
U08154711 26.08.2024 um 11:30:25 Uhr
Goto Top
Ok, jetzt verstanden.
LordGurke
LordGurke 26.08.2024 um 12:02:58 Uhr
Goto Top
Zitat von @aqui:

Root Login sollte man keinesfalls erlauben per SSH. Den Admin User sollte man in die sudoers legen so das der später mit sudo su root Rechte erlangen kann.

Ehrlich gesagt hatten wir in den letzten Jahren einige schwere Lücken in sudo, weshalb ich das aus Sicherheitsgründen bei mir nicht mehr installiere.
Zuletzt beispielsweise CVE-2021-3156.

Wenn sich root nur per Key anmelden kann, ist das meiner Meinung nach sicher genug — denn einen 256 Bit ed25519-Key errät man nicht. Dann kann man sich sudo komplett sparen ohne Sicherheitseinbußen.

Bei einem anderen SSH-Port sei übrigens angemerkt, dass dieser unter 1024 liegen sollte — denn sonst könnten sich unpriviligierte Fake-SSH-Daemons bei einem Reboot an diesen Port binden (z.B. durch @reboot-crontab-einträge eines komprommitierten Nutzers) und damit höhere Rechte bekommen.
Wird ein Port unter 1024 benutzt, kann der nur durch root gebunden werden.
Alternativ kann man SELinux verwenden um den neuen SSH-Port nur für bestimmte Labels verfügbar zu machen
heart3
U08154711
U08154711 27.08.2024 um 08:24:14 Uhr
Goto Top
Danke an alle
gelöstFrageIT-SicherheitstippsUbuntuWebserver
Mehr von U08154711U08154711Fragen zur Installation von NextcloudU08154711 - 3 KommentareU08154711Komisches Verhalten Docker-Portainer-UFW-UFW DockerU08154711 - 6 KommentareU08154711Flächenstörung Telekom, 1und1 etcU08154711 - 11 KommentareU08154711Docker Wireguard AdGuard KombinationU08154711 - 8 Kommentare
Heiß diskutiert
MrHeisenbergBitLocker und HDDCloneMrHeisenberg - 50 KommentarePlexi-SquadWindows Server Essentials 2022 Netzwerk ProblemePlexi-Squad - 24 KommentareTerraITFSLogix - Profile Container werden teilweise nicht geladenTerraIT - 22 KommentarepcpanikWSUS stirbt aus - Azure Update Manager soll es richten, CAWUM Erfahrungen?pcpanik - 21 KommentarekreuzbergerPC Privatkauf mit Win11 - digitaler Lizenzschlüsselkreuzberger - 19 KommentareDumpfbackeKaufempfelung USVDumpfbacke - 18 KommentareTest12121Batch - Dateien aus Ordnerstruktur verschiebenTest12121 - 18 Kommentareprplemk2Interne Domain anlegen Windows DNSprplemk2 - 16 KommentareDarkZoneSDDruckerzuweisung über GebäudepläneDarkZoneSD - 16 Kommentarecasi4711GPO Script mit Robocopy schlägt fehlcasi4711 - 15 KommentareTomTom89Linux Mail Server - SSL Zertifikat - wird falsch abgefragtTomTom89 - 13 KommentareAbstrackterSystemimperatorKaufempfehlung: neuer Laptop für die ZukunftAbstrackterSystemimperator - 13 Kommentare