![[HaBo]](/styles/default/logoklein.png){kind=small}
SSH Port
- Themenstarter CyLeK
- Beginndatum
...nach einem Portscan ist der SSH-Port sowieso bekannt?
*halbwissen ist gefährlich! Sorry
*
Protokollversion sollte höher als SSH-1 sein. Viel mehr gibt es nicht zu beachten.
*halbwissen ist gefährlich! Sorry
*Protokollversion sollte höher als SSH-1 sein. Viel mehr gibt es nicht zu beachten.
Zuletzt bearbeitet:
bitmuncher
Senior-Nerd
SSH-Port verlegen kann durchaus Sinn machen, weil dann weniger Kram, der von Bots verursacht wird, in den Logs landet, so dass echte Angriffe leichter erkannt werden können. Ausserdem nerven evtl. eingesetzte IDS/IPS dann weniger. 
Welcher Port verwendet wird, hängt aber vom Server ab. Schau einfach mal in die /etc/services. Dort siehst du welche Ports üblicherweise für welche Dienste genutzt werden. Suche dir dann entweder einen Port, der darin nicht vorkommt oder einen Dienst, der eher unbekannt ist und dessen Port auf deinem Server noch frei ist.
Und nein, nimm kein sicheres Passwort. Deaktiviere die Passwort-Authentifizierung vollständig und lasse den Zugang nur noch für normale User mittels Keyfile zu. Das heisst also… deaktiviere den SSH-Zugang für root vollständig und sorge dafür, dass nur Shell-User auch eine Shell in der /etc/passwd stehen haben. Deaktiviere ausserdem SSHv1 und lasse nur SSHv2 zu, so dass nur DSA-Keys aber keine RSA-Keys mehr verwendet werden können.
Zum Thema Security by Obscurity: Bitmuncher | Warum Security by Obscurity manchmal doch sinnvoll ist
Welcher Port verwendet wird, hängt aber vom Server ab. Schau einfach mal in die /etc/services. Dort siehst du welche Ports üblicherweise für welche Dienste genutzt werden. Suche dir dann entweder einen Port, der darin nicht vorkommt oder einen Dienst, der eher unbekannt ist und dessen Port auf deinem Server noch frei ist.
Und nein, nimm kein sicheres Passwort. Deaktiviere die Passwort-Authentifizierung vollständig und lasse den Zugang nur noch für normale User mittels Keyfile zu. Das heisst also… deaktiviere den SSH-Zugang für root vollständig und sorge dafür, dass nur Shell-User auch eine Shell in der /etc/passwd stehen haben. Deaktiviere ausserdem SSHv1 und lasse nur SSHv2 zu, so dass nur DSA-Keys aber keine RSA-Keys mehr verwendet werden können.
Zum Thema Security by Obscurity: Bitmuncher | Warum Security by Obscurity manchmal doch sinnvoll ist
RSA ist ebenfalls unter SSHv2 möglich und dass DSA statt RSA genutzt werden soll, würde ich ebenfall nicht pauschal unterschreiben. Beide Algorithmen haben ihre Vor- und Nachteile, sind jedoch bei gleicher Schlüssellänge auf dem selben Sicherheitsniveau. ssh-keygen beispielsweise unterstützt DSA allerdings nur mit Schlüssellängen bis 1024bit:
Code:
$ ssh-keygen -t dsa -b 2048
DSA keys must be 1024 bits... niemand braucht 1024bit
Wenn man nicht auf RSA setzen möchte, dann sollte man auf OpenSSH 6.5 updaten und ed25519 einsetzen, das auf ECC aufsetzt und damit aus aktueller Sicht eines der sichersten Kryptosysteme darstellt.
Bis auf diesen kleinen Aspekt allerdings Full ACK
bitmuncher
Senior-Nerd
Du generierst dir mit 'ssh-keygen' ein Keypair und packst den Public Key in die ~/.ssh/authorized_keys des Users, mit dem du dich einloggen willst. Den Private-Key nutzt du dann für den Verbindungsaufbau 'ssh -i deinprivatekey user@server'. Andere Server kommen da nicht in's Spiel.
bitmuncher
Senior-Nerd
So in der Art: Public Key Authentication With PuTTY
Da ich aber kein Windows nutze und wir hier im Linux/Unix-Bereich sind, sollte die Frage für Windows im entsprechenden Bereich geklärt werden und nicht hier.
bitmuncher
Senior-Nerd
Wenn es darum geht wie du unter Windows einen Key generierst und einen Verbindungsaufbau via Putty machst, dann ist das ein Windows-Problem. Willst du aber genau so vorgehen können, wie man es auch unter Linux und Unix tut, dann installiere dir Cygwin. Da steht SSH auch als Konsolen-Tool zur Verfügung.