Am Donnerstag, 15. September 2005 10:45 schrieb andreas: > Moin, > > On Wed, 14 Sep 2005, Ernst May-Jung wrote: > > könnt Ihr mir was empfehlen, was ich tun soll. Wie Buggy ist ssh? Der > > Angreifer scheint zu wissen, dass er es mit Linux zu tun hat. > > Es kommt drauf an welche ssh version, die orginal OpenSSH version der > OpenBSD gruppe ist "sicher", leider gibt es in einigen linux distros > "developer" die meinen sie muessen ueberall drin rumschrauben und ziehen > sich damit die schwachstellen an.
> 1. PermitRootLogin auf NO! Warum das? Es macht IMHO keinen Unterschied, ob ein Angreifer die Benutzersitzung kompromitieren kann, die ich verwende um via su root zu werden oder ob er gleich die Sitzung als root angreift. Wichtig ist, dass er keines von beidem bekommt. Und das geht nur über regelmäßige Updates und sichere Passwörter. Bei Updates übrigens eine vielgehörte und vielüberhörte Warnung, nach dem Neustart des ssh-Servers eine weitere Verbindung aufzubauen, denn die aktuelle Verbindung wird noch über die alte ssh-Binary aufrechterhalten. Nur nach einem erneuten Anmelden kann man sicher sein, dass der neu aufgespielte ssh-Server auch wirklich das tut, was er soll ;-) > 2. ListenAdress nur auf einer IP (falls rechner statisch im netz mit xx > IP'S) > 3. PermitEmptyPasswords NO (ganz wichtig) > 4. usePAM YES > > Clever wuerde es noch sein das port zu verlegen, ich lasse SSH meist auf > port 443 laufen, somit kom mich auch imemr druch proxys durch wenn ich mal > unterwegs bin (mit putty echt genial). Das funktioniert? > Ganz clever ist es allerdings (zetzt vorraus das du weisst was du tust): > SSH auf port xxx und port 22 mit, z.b. portsenetry zu belegebn oder ganz > einfach ein script schreiben das auf port 22 listen ist und bei zugriff ` > route add xxx.xxx.xxx.xxx gw 127.0.0.1` executen. dann ist ruhe :-) Das ist aber hochgradig DoS-anfällig. Kein *nix-ähnlicher Kernel kann IMHO ohne Modifikation beliebig große Routentabellen verarbeiten. Das heißt, jemand der es darauf anlegt, hat mit sehr geringem Aufwand ziemlich schnell Dein System zumindest viel langsamer gemacht. > Auch clever ist ein script zu hacken welches sich das logfile ansieht, und > beim falschen login die IP blockt. Das gibt es aber schon (fast) fertig. Da sollte man sich mal diverse IDS anschauen. Max -- Max Trense - [EMAIL PROTECTED] - http://www.trense.info
-- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
