GentooForum.de

Kommt darauf an, was DU genau alles mit dem System willst.

ich habe auf meinem Homeoffice-Server von extern nur einen ssh-Zugang offen, alle andere "blockt" schon der DSL-Router.

Da ich den ssh-Zugang nicht auf einen anderen port legen konnte (Sonst würde ich bei einigen Firewall nicht "rauskommen" *griiins) mußte ich zusätzlich den Zugang per fail2ban (gibt auch andere Produkte dafür) gegen wiederholtes Passwortprobieren absichern. Speziel dieses halte ich mittlerweile für super wichtig, habe momentan c.a. 5-6 Sperren Täglich gegen Passwortklau-Versuche zu verzeichnen. Bei Freunden sieht es Ähnlich aus.

Wie ein Server intern sicher sein muss .... da kann man Romane schreiben. Aber ich habe ein eine Lösung gewählt, die bei Dir nicht funktioniert. Ich habe kein "X" auf dem Server ;o)

Ich nutze net-misc/knock zum Absichern. Der SSH Port ist standardmäßig zu. Erst wenn ich anklopfe, wird der Port nur für die IP aufgemacht von der ich anklopfe.
Zusätzlich habe ich einen Cron-Job, der jede halbe Stunde den Port wieder schließt, bestehende Verbindungen jedoch nicht beendet.
Der SSH Server akzeptiert keine User-Authentifizierung. Einwählen kann ich mich nur mit einem RSA-Key.

Knock hat den Vorteil, dass normale Portscans den Port als geschlossen erkennen. Von aussen ist es nicht erkennbar, dass man was aufmachen könnte. Also lassen dich die Script-Kiddies in Ruhe.

Sitzt man hinter einer Firewall, wo auch andere User mit der selben IP im Netz sind, können die theoretisch auch versuchen zu connecten, wenn ich per Knock die IP freigeschaltet habe.
In einem unsicheren Netz kann die Knock-Sequenz geloggt werden.

Daher die zweite Absicherung. Passwörter testen bringt bei mir nichts, da gar keine Passwörter angenommen werden. Da muss schon jemand auf mein Laptop einbrechen und den Key klauen.

Mir erscheint das als ziemlich sicher. Die Perfekte Sicherheit hast Du natürlich nur, wenn Du den Rechner vom Netz nimmst und in einem Tresor abschließt.

fail2ban (oder ähnliche Produkte) sperren nach X Fehlversuchen für Y Zeit die Quell-IP
Normalerweise ist X=4 Versuche und Y= 15 Minuten

Bei mir hat sich aber als Y 1,z Stunden als Praktikabel erwiesen. die ,z damit ein Automatismus (nach 1 Stunde) fehlschlägt ... möchte hier nur z nicht veröffentlichen ;o)

Ein zu langes Y ist übrigens auch negativ, da man sonst per "Blind Angriff", d.h. jemand versucht ich mit Deiner IP absichtlich falsch am Server anzumelden, Aussperrbar ist. (O.K. ich hatte mal in Geistiger Umnachtung das Passwort 3 mal falsch eingegeben und musste dann 1h warten .....)
Port knocking ging bei meinem Server nicht, da ich schon am router nur den ssh Port weiterleiten .. für "port knocking" hätte ich alles weiterleiten müssen.

Aber noch einen Hinweis:
Erlaube nur einen dedizierten User auf ssh zuzugreifen, in der /etc/ssh/sshd_config

so muss ein Angreifer User/Passwort (oder User/Key) raus finden ...... ich finde übrigens beides mittlerweile gleich sicher, solange Du kein "sprechendes" Passwort hast ;o)

Und es gibt noch mehr Möglichkeiten als Port Knocking ... z.B. hat ein Freund von mir eine Freischaltung des ssh-Ports, wenn er vorher eine Bestimmte mal an den Server schickt (per iptables) für X Minuten. Das ist beliebig ausbaubar.

Kurzfassung:
Unterscheide Dich von anderen
- ssh auf einen anderen port
- port nur explizit freischalten

Minimiere die Auswirkungen
- nur dedizierte User erlauben
- dedizierte User haben fast keine Rechte ( wenn nötig wheel erlauben zur Rechte Erweiterung)
- Loginversuche Minimieren incl. automatische Aussperrung

Und noch super wichtig:
- Minimiere die Erreichbarkeit des Servers (z.B. alles außer ssh von extern sperren)

.... Liste ist beliebig erweiterbar ....

Stimmt, wenn man noch einen Router dazwischen hat, ist Knock nicht optimal. Knock muss schon ganz vorne laufen. Bei mir ist er direkt auf dem Firewall-Server. Diese ist ohne Router direkt am Internet.
Für Mutige mit einer Fritzbox gibt es auch: http://trac.freetz.org/wiki/packages/knockd