SSH, authentifizierung mit privaten/öffentl. Schlüssel..

[Night.Hawk]

Da wir jetzt ein Sicherheitsforum haben, würde ich doch mal gerne eine kleine Umfrage und Diskussion bezüglich ssh anstoßen.

Viele hier haben irgendwo Root-Server oder Web-Sever laufen, auf die mit SSH zugegriffen wirt.

Leider hört man immer häufiger, das der Zugang bzw das Passwort geknackt wurde und der Server für alles mögliche genutzt wird, nur nicht mehr für das, was der Besitzer vor hatte.

Also, wenn Ihr SSH nutzt, wie, wann, wo. Konfiguriert ihr es überhaupt? Manpage schon mal gelesen? Oder sagt ihr einfach, egal, Hauptsache Zugang.

Habe das gerade mal selber getestet. Ein Passwort mit sechs Zeichen (ein Wort), wurde am offenen ssh-Port innerhalb von 24 Stunden gefunden und geknackt.

Gruß

Night.Hawk

[rendegast]

Root-Server oder Web-Sever laufen...
...
...Konfiguriert ihr es überhaupt? Manpage schon mal gelesen?

gehört doch dazu, ansonsten wäre es wohl Dusseligkeit.

[meandtheshell]

Um per ssh auf meine Server zu gelangen ist es notwendig folgende Dinge positiv zu erledigen
- ich verwende port knocking [0]
- ssh port ist natürlich nicht der Standard Port (22)
- key authentifizierung + passwort (22+ Zeichen)
- das programm fail2ban
- natürlich erlaube ich keinen root login per ssh
das mache ich überall. Bei einigen sehr kritischen Systemen kommen noch Sachen hinzu.

Passwort alleine ohne key halte ich für zuwenig. Ich lese meist alles was an Information zu einem Thema verfügbar ist
- Nachteil: Zeit die man investieren muss ist viel mehr
- Vorteil: Wissen das man erlangt ist qualitativ und quantitativ viel höher

[0]
http://www.portknocking.org/view/about
http://en.wikipedia.org/wiki/Port_knocking
http://de.gentoo-wiki.com/Port_Knocking
Anstatt eine immer gleichbleibende knock sequenz zu senden verwende ich sich ändernde sequenzen so kann man auch im falle das man die sequenz abfängt nichts damit anfangen. Default ist immer die gleiche sequenz zu verwenden was aber auch schon sehr sehr sicher ist.

Markus

[123456]

Anstatt eine immer gleichbleibende knock sequenz zu senden verwende ich sich ändernde sequenzen so kann man auch im falle das man die sequenz abfängt nichts damit anfangen. Default ist immer die gleiche sequenz zu verwenden was aber auch schon sehr sehr sicher ist.

Ja, das denke ich auch. Alleine die Kombination von 6 verschiedenen Sicherheitsmerkmalen versechsfacht die Sicherheit ja nicht, sondern sie steigt um einen logarithmischen Faktor. Einfach nicht Port 22 zu verwenden hält schon 10.000 Skriptkiddies ab.

[meandtheshell]

Ja, das denke ich auch. Alleine die Kombination von 6 verschiedenen Sicherheitsmerkmalen versechsfacht die Sicherheit ja nicht, sondern sie steigt um einen logarithmischen Faktor.

Welche mathematische Funktion das Verhalten eines so eingerichteten Systems mit bester Näherung beschreibt (linear, logarithmisch,etc) kann ich so nicht sagen. Aber natürlich, die Vermutung nach

Code: Alles auswählen

Das Ganze ist mehr als die Summe seiner Teile.
       -- Hm ... fällt mir der schlaue Mensch gerade nicht ein.

liegt nahe.

Einfach nicht Port 22 zu verwenden hält schon 10.000 Skriptkiddies ab.

Richtig. Das man NICHT port 22 verwendet sollte so normal sein wie den Sicherheitsgurt beim Autofahren anzulegen.

Markus

[Der kleine Tux]

Hallo

Leider hört man immer häufiger, das der Zugang bzw das Passwort geknackt wurde und der Server für alles mögliche genutzt wird, nur nicht mehr für das, was der Besitzer vor hatte.

Da denke ich immer SSH ist Sicher!

Nutze Public-Key mit Passphrase.
Denke die Ausbeute einer ssh bruteforce ist eher gering, mit einem ordentlichen Passwort ist man da schon auf der sicheren Seite.

Wobei ich denke, dass die Kombination unerfahrener Admin + rootserver das eigentliche Problem ist.
Die wollen nur, dass das neuste php + unsicherste cms lüpt und wenn das Kind in den Brunnen gefallen ist über den provider meckern, dass deren images nicht sicher sind !

php Scripte Apache Mysql MTA FTP "sicheres Lagern-Transfer der Backups" darum würde ich mich bevorzugt kümmern !

Gruß Lars

[meandtheshell]

Da denke ich immer SSH ist Sicher!

ssh ist sicher. Probleme ergeben sich bei der Anwendung.

Denke die Ausbeute einer ssh bruteforce ist eher gering, mit einem ordentlichen Passwort ist man da schon auf der sicheren Seite.

Da fällt mir ein Spuch ein:

Code: Alles auswählen

Glauben ist nicht Wissen.

Fakt ist je höher man die Latte legt, desto höher ist die Wahrscheinlichkeit "sicher" zu sein.

Oft ist es so, dass man Nachweise bringen muss was unternommen wird um Systeme sicher zu machen. Hier ist bevor man eine allgemeine Sicht der aktuellen Thematik liefert wichtig die Requirements für ein solches System anzusehen. Anschließend findet die Implementierung, in einem Paper festgehalten, ihren Weg in das System und wird so implementiert. Paper und System werden den Erfordernissen entschprechend angepasst und aktualisiert und von den am Prozess beteiligten Parteien im Einvernehmen unterzeichnet.

Wobei ich denke, dass die Kombination unerfahrener Admin + rootserver das eigentliche Problem ist.
Die wollen nur, dass das neuste php + unsicherste cms lüpt und wenn das Kind in den Brunnen gefallen ist über den provider meckern, dass deren images nicht sicher sind !

php scripte Apache MTA FTP "sicheres Lagern-Transfer der Backups" darum würde ich mich bevorzugt kümmern !

das ist offtopic, gehört in einen eigenen Thread und etwas konkretisiert

Markus

[neuss]

Einfach nicht Port 22 zu verwenden hält schon 10.000 Skriptkiddies ab.

Richtig. Das man NICHT port 22 verwendet sollte so normal sein wie den Sicherheitsgurt beim Autofahren anzulegen.

Nur das es nicht die Sicherheit erhöht, sondern lediglich Fliegen fernhält

gruss neuss

[meandtheshell]

Nur das es nicht die Sicherheit erhöht, sondern lediglich Fliegen fernhält

Nun, was Fliegen mit dem Thema ssh zu tun haben kann ich nicht nachvollziehen.

Fakt ist, dass ganz gezielt die Datenbanken der Krimminellen mit IPs von Systemen gefüllt werden welche z.B. ssh auf port 22 laufen haben.
Darauf aufbauend sichten, sortieren und setzen dann Menschen Aktionen (meist Kriminelle Netzwerke aus dem Asiatischen Raum). Sog. Scriptkiddies halte ich für unangenehm aber im Vergleich zu geziehlten Versuchen fähiger Netzwerke harmlos.

Läuft ssh nicht auf port 22 so entgehe ich nicht nur den Jedermans bekannten Scannern von skriptkiddies sondern viel wichtiger meine Systeme (IPs) sind nirgendwo gelistet. Das ist so weil diesen krimminellen Netzwerken Zeit und Resourcen fehlten um auf jeder IP die ganze portrange abzufahren.

Systeme die unter dem Radar agieren sind die sichersten weil sie ganz einfach nicht existieren. Etwas von dem man keine Kenntnis hat kann man nicht angreifen. Darum ist portknocking auch so gut. Die FW (Firewall) verwirft einfach alle ankommenden Pakete und behandelt jene für bestimmte ports entsprechend.

Markus

[neuss]

Das ist interessant,

Fakt ist, dass ganz gezielt die Datenbanken der Krimminellen mit IPs von Systemen gefüllt werden welche z.B. ssh auf port 22 laufen haben.
Darauf aufbauend sichten, sortieren und setzen dann Menschen Aktionen (meist Kriminelle Netzwerke aus dem Asiatischen Raum).

Da kannst Du mir als Profi doch bestimmt weiterführende Informationen geben. Ich bin bisher tatsächlich davon ausgegangen, dass der port 22 meistens nur von Scriptkiddies (Fliegen) belästigt wird.

gruss neuss

[meandtheshell]

@neuss
Solche Dinge findet man nicht gesammelt auf einer Website oder kann das per RSS feed lesen so wie slashdot etc.
Diese Informationen setzen sich aus Fragmenten zusammen die man von verschiedensten Quellen bekommt. Aus diesen Fragmenten ergeben sich dann Gesamtbilder.

Solche vorab, stufenweisen, Vorgehensweisen sind ja wohl nichts neues. Überlege einfach wie du das machen würdest. Man muss als Krimmineller ganz einfach eine Art Vorauswahl machen - schon wegen der Informationsflut. Die Spammer machen nichts anderes.

Wenn man Google ein wenig bemüht findet man ausreichend Information zu z.B. speziell dieser Thematik. Ich komme zu solchen Informationen meist durch persönliche Gespräche oder Hinweise oder aber auch ganz gut - Blogger - ein ebensogepeilter Nutter wie ich entdeckt was und tut es via seinem Blog kund. Das so etwas von Heise & Co gebracht wird darst du nicht erwarten ... dafür ist deren Radar nicht feinmaschig genug bzw. damit können die Ihren Kundenkreis nicht zufriedenstellen.

Das ist aber alles offtopic - es geht hier in dem Thread ja um ssh und wie man sicher und gut damit arbeitet.

Markus

[neuss]

Das ist aber alles offtopic - es geht hier in dem Thread ja um ssh und wie man sicher und gut damit arbeitet.

Da wir uns ja in dem neuen Testforum Sicherheit bewegen, weiß ich nicht genau was on- oder offtopic ist.
Zumal Du über asiatische Kriminelle redest die über port 22 kommen bzw. erstmal listen.
Ich kenne es anders und da sind sind es meistens US Firmen/Institutionen die es über alle Wege probieren und damit sogar vielfach erfolgreich sind.
Gut mit ssh hat das natürlich nichts mehr zu tun, da sind sich andere Gedanken zu machen.
Mich hätten jetzt aber die von dir erwähnten asiatischen Kriminellen interessiert, wer ist das und was wollen die bezwecken? Sind die gar gefährlicher als die bekannten Angreifer?

gruss neuss

[123456]

Das ist aber alles offtopic - es geht hier in dem Thread ja um ssh und wie man sicher und gut damit arbeitet.

Da wir uns ja in dem neuen Testforum Sicherheit bewegen, weiß ich nicht genau was on- oder offtopic ist.

Du beziehst Dich auf das Forum und meandtheshell bezieht sich auf den Thread. Das sind unterschiedliche Bezugspunkte.

Mich hätten jetzt aber die von dir erwähnten asiatischen Kriminellen interessiert, wer ist das und was wollen die bezwecken? Sind die gar gefährlicher als die bekannten Angreifer?

Klar, die haben Hühnerviren (ok, schlechter Witz). So eine Datenbank mit Port22 IP Adressen ist ja recht nett, aber nicht mehr als ein Anfang. Man geht wohl einfach davon aus, das ein Standardport eine Standardkonfiguration hat und möglicherweise auch Standard Schwachstellen. Statistisch ist hier die Wahrscheinlichkeit am höchsten, das ein Einbruch Erfolg haben könnte. Warum sollen Asiaten krimineller sein als andere? Bei asiatischen IP's weiss ja auch erstmal nicht woher die wirklich kommen. Dazu kommt die Gesetzgebung, die Hacken unterschiedlich in den Ländern sanktioniert...

[meandtheshell]

http://eval.symantec.com/mktginfo/enter ... .en-us.pdf
Bezieht sich auf Attacken von/nach Asien - da das Internet bekanntermaßen ein globales Dorf ist ...

offtopic ist nach meiner Auffassung alles was einen eigenen Thread rechtfertigen würde bzw. den Pfad des aktuellen zu sehr verlässt und somit dazu führt "das kein verwertbares Ergebnis" herauskommt - aber Du hast Recht - exakt forumulieren kann man die Trennlinie nicht. Meine Erfahrung ist einfach, dann wenn man nicht achtgibt es innheralb von 2-3 Posts passieren kann das man über Sachen redet die mit dem eigentlichen Threadtitel gar nichts mehr zu tun haben

ub13 hat Recht - ich habe halt einfach Asiaten + Methode als Anlass genommen.
Generell geht es nur um die Methode. Diese wird von Leuten von überall auf dem Planeten verwendet. Asian habe ich halt erwähnt weil hier der prozentuell gesehen höchste Zuwachs solcher Dinge zu verzeichnen ist.

Markus

[123456]

Asian habe ich halt erwähnt weil hier der prozentuell gesehen höchste Zuwachs solcher Dinge zu verzeichnen ist.

Das mag stimmen mit dem Zuwachs. Absolut ist laut dem Paper von Symantec die USA Topscorer. Von dort stammen ca. 33% der internationalen Attacken. Das ist mehr als alle asiatischen Länder zusammen haben. Kummuliert kommen die auf vielleicht 20%. Böse böse Amis...

[meandtheshell]

Ja - wie auch immer. Das einzige was jemanden interessieren muss ist das interface zu der Ausenwelt welches vollständig unter seiner Kontrolle liegt.

Nur da kann er Wirkung erziehlen. Darum eben die Möglichkeiten in Bezug auf seine ssh Gewohnheiten und Einstellungen bzw. das ganze Setup.

sshd weg von port 22 und key + passwort (> länger 13 Zeichen; je mehr desto besser) sind meiner Meinung nach das untere Limit das man machen sollte.

Markus

[jensm]

Das erste was ich auf meinem Server gemacht habe (wie wohl jeder "hoffentlich) Port verlegt, root Zugang verweigern, und authorized_keys anlegen.

fail2ban muss ich mir noch angucken. mal schauen was das kann und bringt.

Achja... Hat jemand ne gute Konfiguration von fail2ban parat?
bantime
maxretry
usw.

[condor2k]

Habe letztens über fail2ban schlechtes gelesen, nämlich eine vergleichsweise zu Hohe Last für den Dienst.

Iptables hat ein Modul Namens recent, dieses kann man so konfigurieren, dass man bspw für 2 falsche logins in 5 Sekunden
die IP temporär bannt. (Oder natürlich sonst eine Iptables Regel erstellt).

[chu-i]

Ich nutze ssh auf wechselnden Ports, Key Authentifizierung und iptables.

Ihr verschweigt einen wichtigen Punkt der für Sicherheitssystem genau so wie für Hochverfügbarkeitssysteme gilt.
Mehr beteiligte Komponenten erhöhen nicht zwingend den gewünschten Effekt.

Ich kenne Cluster die habe eine geringer Verfügbarkeit als manch Single Server System und ich kenne Systeme die so mit "Sicherheitssoftware" überfrachtet sind das Sie IMO unsicherer sind als Systeme die die Basissicherheitskomponenten nutzen.

Das Problem ist der Menschliche Faktor. Mehr geschriebener Code enthält mehr Fehler und somit mehr Angriffspunkte.

http://www.pro-linux.de/security/6539 Thema: Sicherheitslücke fail2ban (nur exemplarisch)
http://linuxwiki.de/Fail2Ban Thema: Speicherfresser fail2ban (ungeprüft)

Gerade Software wir Portknocker sind dafür prädestiniert, da Sie Schnittstellen nach draußen prüfen bzw. nutzen.

Nur mal so am Rande, Hacker kochen auch nur mit Wasser.
Ich halte Sie für clever genug nicht zu versuchen eine ssh Passwort per BruteForce brechen zu wollen.
Wer bohrt schon gerne mit einem Handbohrer an einer Stahlbetonmauer wenn daneben eine Holztür ist.
Der einfachste, schnellste und vor allem Ressourcen sparende Weg geht über das Wissen von Schwachstellen im Code der lieben Sicherheitsanwendungen.

Daher nutze ich so weit wie möglich Standardanwendung die bewährt und ausgereift sind. Ich versuche so wenig wie möglich Schnittstellensoftware ein zusetzten. Ein HIDS als passive Überwachung von Angriffen ist zudem recht hilfreich und Schwachstellen in dessen Code helfen dem Angreifer nicht bei mir leichter einzudringen. IMO

Und jetzt lyncht mich!

[ckoepp]

Nur mal so am Rande, Hacker kochen auch nur mit Wasser.
Ich halte Sie für clever genug nicht zu versuchen eine ssh Passwort per BruteForce brechen zu wollen.

Naja...lasse ich jeden Tag nen drei Rechner mit möglichst unterschiedlichen IP-Ranges durchlaufen, habe ich sicher nach einer Woche einen root Account.

Denke es kommt immer auf die Relationen an. Ich würde mir da keine große Mühe machen, warum denn? Es gibt so viele unsichere Rechner im Netz. Warum also so viel Arbeit für einen sicheren machen?
Bei den unsicheren Rechnern, habe ich auch den Vorteil, dass die Admins wahrscheinlich keine Ahnung haben und einen Einbruch erst spät oder gar nicht bemerken. Das wäre dann ein Volltreffer - der sicher oft genug vorkommt.

Solange ich tausende Euro machen kann ohne etwas dafür zu tun, werde ich doch nicht für 50 Euro mir ne Woche arbeit mit einem Rechner machen. Was anderes sind da natürlich gezielte Angriffe, aber ich denke die kommen eher selten vor auf private Server.

[chu-i]

Naja...lasse ich jeden Tag nen drei Rechner mit möglichst unterschiedlichen IP-Ranges durchlaufen, habe ich sicher nach einer Woche einen root Account.

Wie schon erwähnt iptables ... dann brauchst du wohl eher mehr Rechner mit unterschiedlicher IP (als Bot Netz) oder deutlich mehr Zeit.

Wo wir wieder bei den Kosten und den Aufwand währen, selbst wenn es kein privater Server ist.
Zumal ein HIDS den einen wie auch den anderen Fall dem Admin mitteilt bevor du drin bist.

Du kannst es drehen und wenden wie Du möchtest, eine erfolgversprechende und vor allem stille Möglichkeit des Eindringens ist BruteForce auf die von mir oben benannte Konfiguration nicht.

Bei den anderen von dir erwähnten Punkten stimme ich mit deiner Meinung überein,
wobei sich mein Eintrag eher nicht auf die Hobbyastronauten bezogen fühlen wollte.
Weder für die Good Guys noch für die Bad Guys.

[meandtheshell]

Mehr beteiligte Komponenten erhöhen nicht zwingend den gewünschten Effekt.

Das Problem ist der Menschliche Faktor. Mehr geschriebener Code enthält mehr Fehler und somit mehr Angriffspunkte.

Ich stimme in beiden Punkten zu.
Man sollte bei jeden System individuell entscheiden was Sinn macht. Ich denke, dass jenseits von allgemein als sinnig anerkannten Dingen (nicht port 22, key + passphrase, Einsatz einer FW) der Einzelfall entscheidet was gemacht wird.

So gut meiner Meinung nach portknocking ist, ich kenne Leute die sich aus dem eigenen System ausgesperrt haben (nicht das dies auch mit normalen ssh ginge ). Hier ist aber der Mensch das schwächste Glied in der Kette.

Von IDSs (Intrusion Detection System) halte ich nur bedingt was:
- entweder sie schlagen andauern Alarm weil zu agressiv eingestellt oder
- sind blind wie eine Kuh mit verbudenen Augen
Aber natürlich, auch hier ist der Mensch und seine Fähigkeiten das A und O.

Ein wesentlicher Nachteil bei dem mindset ist:
Ich gehe davon aus das ich verwundbar bin (mehr als unbedingt notwendig). Z.b. ist bei einem Webserver nach meiner Ansicht NUR (und damit meine ich wirklich NUR) Port 80 offen - sonst nix (Pakete auf anderen Ports werden verworfen). D.h. erstmal muss ich mich nur um Port 80 kümmern, sollte sshd einen Bug haben ist mir das egal. Der Port ist nicht offen. Das gilt auch für andere Dienste und Ports - nicht einmal pingbar ist der Rechner (ja, hier gehen die Meinungen auseinander).

Im Rechner:
Nun das ist offtopic, da nicht mehr ssh. Aber da geht es dann hinein in eine virtualisierte Umgebung, vollkommen abgeschottet vom Hostsystem usw. usf.

Zur Last von Diensten sage ich -> egal, sowas erschlägt man mit Hardware. Zumal hier redet man ja nicht von Faktoren in der Größenordnung von +-10.000 (z.B. beim profiling von C Code durchaus üblich mit einer Zeile oder einer Loop solche Sprünge zu machen) oder mehr sondern Last die evtl. um den Faktor 10% oder so zunimmt.

Dem http://www.pro-linux.de/security/6539 begegnet man ganz einfach indeem man portknocking verw. - kein offener ssh port, kein Futter für fail2ban, keine blacklistet IPs.

Markus

[ckoepp]

Bei einigen sehr kritischen Systemen kommen noch Sachen hinzu.

Welche? Alles was hier besprochen wurde, ist so ziemlich das Ende der Fahnenstange, oder?

Wüsste jetzt nicht was für Sicherheitsfeatures noch möglich sein sollten (auf dem Rechner selbst).

[MF]

Hier ist noch eine Angriffmöglichkeit auf Programme wie fail2ban oder ähnliche Programme:

http://www.ossec.net/en/attacking-loganalysis.html

[meandtheshell]

Bei einigen sehr kritischen Systemen kommen noch Sachen hinzu.

Welche? Alles was hier besprochen wurde, ist so ziemlich das Ende der Fahnenstange, oder?

Wüsste jetzt nicht was für Sicherheitsfeatures noch möglich sein sollten (auf dem Rechner selbst).

Das war bei weitem noch nicht alles was möglich ist.

Möglich ist z.B. Air Gaps [0] zu verwenden welche nur mittels out-of-band Kommunikation geöffnet/geschlossen werden können. Aber da gibt es noch einiges Zeug mehr das ich kenne und sicher noch viel viel mehr von dem Ich nichts weiß.

[0]
http://en.wikipedia.org/wiki/Air_gap_%28networking%29
http://wiki.hackerboard.de/index.php/Fi ... se_Proxies

Markus