Anmeldeversuche über SSH

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Bei sftp bzw ssh ist die Datenuebetragung veschluesselt - aber ein jeder kann sich anmelden sofern er das Password kennt
Das ist so nicht ganz richtig. Auch bei SSH Verbindungen kann man die Authentifizierung via Passwort deaktivieren indem man den Parameter PasswordAuthentication auf no setzt.

Dazu muss natürlich im Gegenzug eine Anmeldung per PubkeyAuthentication mit yes eingeschaltet sein und natürlich entsprechend der öffentliche Schlüssel auf dem Server in dem jeweiligen User home Verzeichnis ~/.ssh/authorized_keys hinterlegt sein.

Somit sind dann einfache Passwort Authentifizierungen nicht mehr möglich. Man benötigt zwingend einen RSA Schlüsselpaar wobei der private Schlüssel dann selbst Passwort geschützt sein kann.

In diesem Falle benötigt man einmal den privaten Schlüssel plus das Passwort für den privaten Schlüssel um sich anzumelden.
Alle anderen Anmeldeversuche nur über ein Passwort (User/Passwort) werden vom Server abgelehnt.
 
  • Like
Reaktionen: framp und DrDeath

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
975
Punkte für Reaktionen
106
Punkte
69
Auch bei SSH Verbindungen kann man die Authentifizierung via Passwort deaktivieren indem man den Parameter PasswordAuthentication auf no setzt.
Stimmt. Das hatte ich vergessen 😌 Danke fuer Deine Richtigstellung (y)
 

Mavalok2

Benutzer
Mitglied seit
05. Jun 2018
Beiträge
697
Punkte für Reaktionen
145
Punkte
69
Wenn Dein ssh Password wie Du schon schriebst generiert und hoffentlich lang genug ist brauchst Du Dir keine Sorgen machen.
In der Theorie zumindest solange nicht, bis sich eine Sicherheitslücke auftut.
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
975
Punkte für Reaktionen
106
Punkte
69

Mavalok2

Benutzer
Mitglied seit
05. Jun 2018
Beiträge
697
Punkte für Reaktionen
145
Punkte
69
Gelegentlich muss man die Leute daran erinnern, dass nichts wirklich sicher ist, auch wenn es augenscheinlich danach aussieht. Ändern kann man daran ja nur wenig, aber die Überraschung ist oft doch groß: "Das hat mir niemand gesagt." "Was der Airbag schützt nicht vor dem Tod wenn ich mit 300 Sachen gegen einen Brückenpfeiler krache."
 
  • Like
Reaktionen: framp

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.102
Punkte für Reaktionen
2.069
Punkte
259
Jedes Risiko eliminieren geht nicht - man kann aber sein Risikoprofil verkleinern.

Ich finde immer den Vergleich mit Käsescheiben gut: Jede Scheibe hat Löcher. Wenn ich jetzt aber ein paar Scheiben nehme und gegeneinander drehe und versetze, dann ist wahrscheinlich kein durchgehendes Loch mehr übrig.

Je mehr Löcher, um so unsicherer wird es aber. Also mache ich auf dem Router 1 Port auf, ist das eine solide Käsescheibe. Mache ich 20 auf, eher Luft mit Käse drumherum.

Daher sollte ich immer zuerst fragen „Brauche ich XY, und wofür“, bevor ich alles installiere und scharf schalte. Also Ports dicht setzen, Pakete und Programme deinstallieren, Dienste abschalten. Wenn es wie hier heißt „keine Ahnung, Port 22 ist dicht, und SSH brauche ich nicht“, aber das Sicherheitsprotokoll weist Zugriffe aus, dann passt etwas ganz gewaltig nicht.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat