RootForum Community

Hallo RootForum !!

Ich habe seit kurzem eine statische IP von meinem Telefonanbieter bekommen. So gleich habe ich in der /etc/host.allow meines 1und1 Servers meine feste IP eingetragen:
Und in der /etc/host.deny:
So ist sicher gestellt das nur noch ich mich von meiner DSL-Leitung aus per SSH einwählen kann. Funktioniert auch supi...alles schon getestet...

Jetzt meine Fragen: Ist das wirklich viel sicherer oder kann das leicht umgangen werden ? Kann man eine IP Adresse mit Hilfe eines Programmes leicht vorgaukeln etc. ?? Zurst müsste der Angreifer dann ja auch erst einmal meine statische IP heraus finden. Vielen Dank für eure Meinungen !!!

Gruß Vogi....

Das passt schon. Ist aber ehrlich gesagt überflüssig. Das ist über SSH eingebrochen wird ist äußerst unwahrscheinlich. Kümmer dich lieber um Apache u. PHP.

ok...hast du ein paar Vorschläge auf was man besonders achten sollte ?

evilduffp wrote:ok...hast du ein paar Vorschläge auf was man besonders achten sollte ?

• Trage die Benutzer oder Gruppen, die sich anmelden dürfen, explizit in der sshd_config ein (AllowUsers, AllowGroups).
• Verbiete die Anmeldung mit Passwörtern, erlaube nur noch Public Key Authentication.
• Gib Benutzern, die einen Zugang für SCP/SFTP benötigen, eine eingeschränkte Shell (scponly, rssh).
• Informiere dich regelmäßig über Fehler in OpenSSH.

Super vielen Dank !!

Aber eine Frage ist trotzdem noch offen. Ist es möglich eine andere IP als die eigene vorzugauckeln ? Ich weiß nur das es wohl relativ leicht sein soll bei einem Wireless-LAN eine andere MAC-Adresse vorzuspielen, aber wie ist es mit einer IP im Internet ?

MfG....

Eine falsche IP ist nicht so ganz trivial wenn die Antwort auch beim richtigen ankommen soll. Im lokalen Netz allerdings sehr einfach weil da nicht geroutet wird und durch eine Man-in-the-middle Attake über MAC-poisening zu realisieren.

Alles AFAIK ....

Ich möchte auch meinen, dass IP-Spoofing außerhalb von Intranets in Bezug auf SSH nicht der größte Risikofaktor ist, denn:
Wenn jemand mit "deiner" IP Pakete an deinen Server schickt, "antwortet" der Server ja an deine IP. Und es ist dann doch sehr aufwändig, den Datenverkehr abzugreifen und auf dem "Rückweg" wieder auf die IP des Angreifers umzuleiten. Da gibt es dann eben doch wesentlich einfachere Methoden, ein System zu kompromittieren - Stichwort Apache und PHP.

Tipps dazu:
-mod_security. Dazu zum Anfang das Ruleset von gotroot.org, das man dann selbst verfeinern und anpassen sollte.
-mod_evasive. Verhindert DoS via HTTP-Requests. Allerdings muss es mit vieeel Feingefühl konfiguriert werden. Bei mir hat es z.B. bei einem Online-Magazin auf meiner Kiste Probleme gemacht, als in einem Artikel viele Bilder drin waren, die recht zeitnah geladen wurden.
-Am besten gar keine allzu aufwändige PHP-Software laufen lassen. CMS wie Joomla oder Typo3 haben immer mal wieder Sicherheitslücken, die das Risiko von SQL-Injections oder schlimmer, Ausführung von Code/Kommandos via Systemcall bergen. Wenn die doch nötig ist, immer auf dem aktuellsten Stand bleiben. "Never change a running system" darf bei einem Root NICHT die Devise sein.
-In PHP, soweit möglich, alle Funktionen verbieten, die Systemcalls auslösen können, so z.B. exec etc. Ebenso die Möglichkeit verbieten, dass PHP-Scripts die Einstellungen der php.ini overriden können. Script-Timeouts auf "unendlich" setzen und dann eine Endlosschleife erzeugen lässt deinem Prozessor warm ums Herz werden.
-Wenn möglich, suPHP anstelle von mod_php benutzen, www-data ist immer ein etwas kritischer User, der wohlweislich in seine Schranken gewiesen sein will
-Je nach Konfig über Serverdienste in Jails nachdenken
-Eine gute MTA-Konfiguration bewahrt dich vor Blacklisting in Spamverzeichnissen (bei http://www.dnsstuff.com [etwas runterscrollen] hast du übrigens viele Möglichkeiten, die infrastrukturelle Peripherie deiner Kiste auszutesten)
-Security-Mailinglisten zu abonnieren ist Pflicht
-.. und natürlich der ganze "Kleinkram" à la SYN-Cookies (ethische Entscheidung - soll mein Server RFC-konform antworten oder zumindest ein kleines Bisschen vor SYN-Floods geschützt sein?), kein Rootlogin via SSH etc., dazu einfach mal im Forum rumstöbern

Hoffe, ich habe nichts wesentliches vergessen - mein Mittagessen schmeckt gerade so gut. :)

Roger Wilco wrote:

evilduffp wrote:ok...hast du ein paar Vorschläge auf was man besonders achten sollte ?

• Trage die Benutzer oder Gruppen, die sich anmelden dürfen, explizit in der sshd_config ein (AllowUsers, AllowGroups).
• Verbiete die Anmeldung mit Passwörtern, erlaube nur noch Public Key Authentication.
• Gib Benutzern, die einen Zugang für SCP/SFTP benötigen, eine eingeschränkte Shell (scponly, rssh).
• Informiere dich regelmäßig über Fehler in OpenSSH.

viel arbeit und keinen mehrwert (in seinem fall wo er eh der einzige ist).

buddaaa wrote:viel arbeit und keinen mehrwert

Ansichtssache. Außerdem, wo hat er denn geschrieben, dass er der einzige Benutzer sei?

Roger Wilco wrote:

buddaaa wrote:viel arbeit und keinen mehrwert

Ansichtssache. Außerdem, wo hat er denn geschrieben, dass er der einzige Benutzer sei?

na in seinem post und /etc/host.deny: "sshd: ALL" ;)

Point taken.