Af peque | 16.02.2012 15:42

SSH sikkerhed

Forums

Brødtekst

Hejsa gruppe.

Jeg har en debian server som jeg gerne ville sikre lidt mere. I min logfil ser jeg konstant SSH attacks og ville reelt gerne slippe gfor dette .
Jeg ville gerne hvis følgende kunne lade sig gøre:
At man på lokalt LAN kan logge ind med SSH key og Password, hvormod hvis man er udenfor min router og logger på via WAN, så er det KUN hvis man har sin nøgle liggende på serveren, at man kan logge ind - dvs ingen mulighed for password!
Jeg har selvfølgelig denyhosts installeret på serveren, men syntes bare den konstant udvides - så derfor tænkte jeg om denne løsning var muligt?

Log ind eller opret dig for at tilføje kommentarer

Kommentarer8

match

en hurtig googling leder til http://blog.rootshell.be/2010/09/02/configuring-conditional-ssh-connect…

umidbart fra man filen(vanilla debian 6) ser det korrekt ud, ssh kan ændre regler baseret på subnet så hvis du slår pw auth fra globalt kan du aktivere det specifikt for et subnet, men har ikke testet selv.

Log ind eller opret dig for at tilføje kommentarer

Lækkert - For det er

#1:
Lækkert - For det er noget rimeligt nyt - da jeg har søgt dette før, men endte med at disconnecte mine muligheder til at logge ind på en fjernserver! Men det ville være lækkert at få lukket af for dette ! tusind tak for link!

Log ind eller opret dig for at tilføje kommentarer

En nem måde at minske

En nem måde at minske attacks på, er at skifte porten standard fra 22 til noget andet.

Log ind eller opret dig for at tilføje kommentarer

Jeps.
Det er også gjort.

Jeps.
Det er også gjort. Men kan se mine porte løbende bliver forsøgt! og derfor irreterer det mit øje gevaldigt, at min auth.log er fyldt med login forsøg

Log ind eller opret dig for at tilføje kommentarer

Jeg har faktisk ikke haft

Jeg har faktisk ikke haft nogen SSH attacks efter jeg har haft skiftet til en anden port, og det er nogen år siden efterhånden.

En anden god ting, er at disable root login også, da root som default har lov til at lave SSH logins på Debian.

En anden løsning, er at lave et script der kontrollere for feks. 5 fejlede login forsøg hvorefter IP'en ryger i denyhosts.

Log ind eller opret dig for at tilføje kommentarer

Som der nævnes, findes der

Som der nævnes, findes der script-løsninger.

Se evt, efter 'fail2ban', som kan sørge for at blokkere ip-numre. 'fail2ban' kan også brugres på andet end blot en ssh-server,



apt-cache show fail2ban

Log ind eller opret dig for at tilføje kommentarer

I din gateway/firewall kun

I din gateway/firewall kun allow access fra specifikke adresser (work, home, friends and wherever you may logon from :-))

Husk også at disable root logon som skrevet
i /etc/ssh/sshd_config ændre følgende:



# Authentication:

PermitRootLogin yes

til



PermitRootLogin no

Log ind eller opret dig for at tilføje kommentarer

En anden mulighed

En anden mulighed kunne være Port Knocking

Har en ven der har testet nem og lækker måde at installere og konfigurere det. Hans side er nede lige pt. men ellers er der lidt http://www.hostsvault.com/blog/howto-protect-services-like-ssh-against-brute-force-using-only-iptables-port-knocking/

Log ind eller opret dig for at tilføje kommentarer

Oprettet og drevet af nørder siden 2004 !

llumos Unix-operativsystem,	0
Den er go	0
14. februar = I Love Free Software Day	0
Lokal fil-deling - for de dovne.	0
Linux fra begynder til professionel af O'Reilly	0

Virtuel maskine?	2
PCLinuxOS	27
Gode anmeldelser Zorin OS 17.3	3
Open Source-eksperimentet	3
Nulstilling af adgangskode	5
"Intet realistisk alternativ" - mig i r*ven	15
Ingen Mint	5
Linux App Store Flathub når 3 milliarder downloads	2
Digitaliseringsministeriet sætter gang i pilotprojekt om digital suverænitet	3
Mest sikker webbrowser	5
Firefox	2
Privatbeskeder	7
Backup/synkronisering?	3
BigLinux	5
Chatgpt satire	1
Læsning af databasefil i Firefox	2
Vanilla OS	15
Pepsi Challenge	4
Linuxin er nu migreret til Drupal 11	13
Et Dansk alternativ til Facebook	18

Snak med

Opret dig!