Anmeldeversuche über SSH

luddi · 08. Mai 2022

framp schrieb:
Bei sftp bzw ssh ist die Datenuebetragung veschluesselt - aber ein jeder kann sich anmelden sofern er das Password kennt

Das ist so nicht ganz richtig. Auch bei SSH Verbindungen kann man die Authentifizierung via Passwort deaktivieren indem man den Parameter PasswordAuthentication auf no setzt.

Dazu muss natürlich im Gegenzug eine Anmeldung per PubkeyAuthentication mit yes eingeschaltet sein und natürlich entsprechend der öffentliche Schlüssel auf dem Server in dem jeweiligen User home Verzeichnis ~/.ssh/authorized_keys hinterlegt sein.

Somit sind dann einfache Passwort Authentifizierungen nicht mehr möglich. Man benötigt zwingend einen RSA Schlüsselpaar wobei der private Schlüssel dann selbst Passwort geschützt sein kann.

In diesem Falle benötigt man einmal den privaten Schlüssel plus das Passwort für den privaten Schlüssel um sich anzumelden.
Alle anderen Anmeldeversuche nur über ein Passwort (User/Passwort) werden vom Server abgelehnt.

Anzeige · 05. Mai 2022

Hallo greydutch,

Bücher und Hardware zum Thema gibt es bei Amazon: Anmeldeversuche über SSH

tokon · 08. Mai 2022

greydutch schrieb:
Ich werde mich demnächst also mit dem Thema VPN und Synology auseinandersetzen (ist absolutes Neuland für mich).

Kannst ganz einfach über die Fritzbox einrichten. Würde ich nicht auf der Syno machen.

framp · 08. Mai 2022

luddi schrieb:
Auch bei SSH Verbindungen kann man die Authentifizierung via Passwort deaktivieren indem man den Parameter PasswordAuthentication auf no setzt.

Stimmt. Das hatte ich vergessen

Danke fuer Deine Richtigstellung

Mavalok2 · 08. Mai 2022

framp schrieb:
Wenn Dein ssh Password wie Du schon schriebst generiert und hoffentlich lang genug ist brauchst Du Dir keine Sorgen machen.

In der Theorie zumindest solange nicht, bis sich eine Sicherheitslücke auftut.

framp · 08. Mai 2022

Mavalok2 schrieb:
bis sich eine Sicherheitslücke auftut

Das ist ein systemimmanentes Problem an dem niemand vorbeikommt ...

Mavalok2 · 08. Mai 2022

Gelegentlich muss man die Leute daran erinnern, dass nichts wirklich sicher ist, auch wenn es augenscheinlich danach aussieht. Ändern kann man daran ja nur wenig, aber die Überraschung ist oft doch groß: "Das hat mir niemand gesagt." "Was der Airbag schützt nicht vor dem Tod wenn ich mit 300 Sachen gegen einen Brückenpfeiler krache."

luddi · 08. Mai 2022

Mavalok2 schrieb:
[...] dass nichts wirklich sicher ist [...]

Außer vielleicht das "Amen" in der Kirche...

Synchrotron · 08. Mai 2022

Jedes Risiko eliminieren geht nicht - man kann aber sein Risikoprofil verkleinern.

Ich finde immer den Vergleich mit Käsescheiben gut: Jede Scheibe hat Löcher. Wenn ich jetzt aber ein paar Scheiben nehme und gegeneinander drehe und versetze, dann ist wahrscheinlich kein durchgehendes Loch mehr übrig.

Je mehr Löcher, um so unsicherer wird es aber. Also mache ich auf dem Router 1 Port auf, ist das eine solide Käsescheibe. Mache ich 20 auf, eher Luft mit Käse drumherum.

Daher sollte ich immer zuerst fragen „Brauche ich XY, und wofür“, bevor ich alles installiere und scharf schalte. Also Ports dicht setzen, Pakete und Programme deinstallieren, Dienste abschalten. Wenn es wie hier heißt „keine Ahnung, Port 22 ist dicht, und SSH brauche ich nicht“, aber das Sicherheitsprotokoll weist Zugriffe aus, dann passt etwas ganz gewaltig nicht.

framp · 08. Mai 2022

Synchrotron schrieb:
dann passt etwas ganz gewaltig nicht.

Suche

Anmeldeversuche über SSH

luddi

Benutzer

Anzeige

tokon

Benutzer

framp

Benutzer

Mavalok2

Benutzer

framp

Benutzer

Mavalok2

Benutzer

luddi

Benutzer

Synchrotron

Benutzer

framp

Benutzer

Kaffeautomat