Hallo,
ich administriere meinen Rootserver bisher mit über ssh, port 22 umgelegt auf port xxx, authentication mit public-key und key durch passphrase geschützt.
Alles okay, soweit.
jetzt muss ich allerdings für den Urlaub vorsorgen, und dort habe ich nur die Möglichkeit über einen Wlan-Hotspot ins Internet zu kommen (oder über mein Handy- was dann doch etwas übertrieben wäre).
Problem: Der Hotspot bietet alle möglichen Ports an, bloß nicht Port 22, bzw. den, auf den ich den sshd gestartet habe.
Meine Frage: was macht mehr Sinn:
a) jetzt IPSEC over UDP (VPN) einrichten oder
b) den sshd auf Port TCP 993 (Imap secure) oder 995 (Pop3 secure) zu starten (Beide Dienste biete ich nicht an)
Zu a) Gibt es irgendwo ein Howto, wie ich über Windows einen Shellzugriff über VPN auf meinen Rootserver erhalte? Ähnlich bequem wie mit Putty?
Zu b) Spricht irgendwas dagegen, denn sshd auf einen der beiden oben genannten Ports zu starten, auch wenn man sie nicht nutzt?
Danke,
Uwe
SSH oder VPN?
Re: SSH oder VPN?
Also wenn es nur um die Urlaubs-Versorgung geht und Du kein IMAPS nutzt, spricht nichts dagegen, einfach den Port für den sshd zu ändern. Das ist mit einem Eintrag in der sshd_config erledigt. Für ein VPN (was verstehst Du darunter? so richtig mit OpenS/WAN oder einfach ein Tunnel?) musst Du in jedem Fall mehr Aufwand treiben.
Was ich mich in diesem Zusammenhang allerdings noch frage: Hat der Hotspot wirklich nur Portsperren auf Layer 3/4, oder spielt da vielleicht noch ein Proxy mit? Dann würde aber wahrscheinlich weder eine Port-Verlegung noch ein VPN helfen... in so einem Fall bliebe wohl nur die Installation einer Web-Shell (wie AjaxTerm o. ä.)
Was ich mich in diesem Zusammenhang allerdings noch frage: Hat der Hotspot wirklich nur Portsperren auf Layer 3/4, oder spielt da vielleicht noch ein Proxy mit? Dann würde aber wahrscheinlich weder eine Port-Verlegung noch ein VPN helfen... in so einem Fall bliebe wohl nur die Installation einer Web-Shell (wie AjaxTerm o. ä.)
Re: SSH oder VPN?
Bei Authentifizierung über einen Schlüssel ist das verlegen der Ports eh recht sinnlos und bringt faktisch nichts (die Diskussion hatten wir eh schon einmal). Also kannste den auch einfach auf Port 22 zurückpacken, (un-)sicherer wird dein Server dadurch eh nicht.
Re: SSH oder VPN?
Wenn ich die Frage richtig verstanden habe, so geht es hier ja nicht darum, ob er durch Portverlegung den Zugang über SSH eventuell sicherer machen könnte, sondern mit dem neuen Port nur bezwecken möchte, dass er in einem Internetcafé darauf zugreifen kann.dtdesign wrote:Bei Authentifizierung über einen Schlüssel ist das verlegen der Ports eh recht sinnlos und bringt faktisch nichts (die Diskussion hatten wir eh schon einmal). Also kannste den auch einfach auf Port 22 zurückpacken, (un-)sicherer wird dein Server dadurch eh nicht.
Wie dem auch sei, bei Internetcafés ist zu meist schon ein Proxy aktiv, wodurch sich die Thematik noch etwas verschärft. Die letzte Möglichkeit bleibt wohl tatsächlich eine Lösung über den Browser, wie "AjaxTerm", was jfreund schon genannt hat.
Re: SSH oder VPN?
Das habe ich auch so verstanden, ich habe jeglich versucht zu begründen, weshalb es eh keinen Sinn macht, den Port zu verlegen. Da Port 22 in den meisten Internetcafe eh frei ist, macht er es sich dadurch leichter, einer Portverlegung bringt nur trügerische Sicherheit.
Zudem bin ich nicht so der Freund (Achtung, Wortspiel! ;) ) von Web-Shells, da diese eine zusätzliche bzw. potenziel zusätzliche Sicherheitslücke bedeuten. Sicherheitsprinzip Nr. 1 bei Root-Servern ist es ja, so wenig wie möglich am laufen zu lassen. Da er mit einer Rückverlegung auf den Port 22 sich derartiges ersparen kann, läuft er damit besser imho.
Zudem bin ich nicht so der Freund (Achtung, Wortspiel! ;) ) von Web-Shells, da diese eine zusätzliche bzw. potenziel zusätzliche Sicherheitslücke bedeuten. Sicherheitsprinzip Nr. 1 bei Root-Servern ist es ja, so wenig wie möglich am laufen zu lassen. Da er mit einer Rückverlegung auf den Port 22 sich derartiges ersparen kann, läuft er damit besser imho.
Re: SSH oder VPN?
Damit bleibt bloß, einen nicht gesperrten Port zu verwenden oder auf eine Webshell auszuweichen 8) Da die Installation von AjaxTerm zum Glück nicht ganz so trivial ist (lauscht nämlich erst mal auch auf einem "merkwürden" Port), wäre Lösung a am einfachsten. Falls der Provider für seinen Hotspot einen Proxy einsetzt (Pink T tut das z. B.), dann bleibt nur der Weg über AjaxTerm auf einem Standard-Port (443).uwe_krause wrote:Problem: Der Hotspot bietet alle möglichen Ports an, bloß nicht Port 22, bzw. den, auf den ich den sshd gestartet habe.
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: SSH oder VPN?
Also https über Port 443 wie jfreund schon gesagt hat und dann einfach einen Proxyeintrag in deiner httpd config machen, das steht aber auf der Webseite selbst und AjaxTerm lauscht per default auch nur auf localhost. Der Aufruf könnte dann folgend lauten:
https://xxx..de/YPoe49fXvywVA0 (bloss nicht https://xxx.de/ajaxterm/)
das Bookmarkst du dir in deinen Browser oder im Handy und musst im Cafe nur aufpassen das du dein Laptop nicht verlierst oder (sofern du nur an Stationen Surfen darfst) die History löscht. Ausserdem würde ich den rootlogin abschalten und einen User anlegen, aber das dürfte ja mittlerweile standard sein das man mit sudo arbeitet und der root Account deaktiviert ist.
Dann arbeitet das ganze doch recht sicher, den ein Angreifer müsste er um Apache Auth rumkommen, dann den User erraten und dann auch noch sein Passwort. Was will man mehr :)
@dtdesign
Im Urlaub will ich aber schlafen, und wenn ich meine Kisten nicht prüfen kann kann ich nicht schlafen. Also ist eine Webshell die letzte möglichkeit neben einer Einwahl mit GSM oder UMTS in ein extrem Teures (ausländisches) Netz nur um 3 oder 4 standardbefehle abzusetzen.
https://xxx..de/YPoe49fXvywVA0 (bloss nicht https://xxx.de/ajaxterm/)
das Bookmarkst du dir in deinen Browser oder im Handy und musst im Cafe nur aufpassen das du dein Laptop nicht verlierst oder (sofern du nur an Stationen Surfen darfst) die History löscht. Ausserdem würde ich den rootlogin abschalten und einen User anlegen, aber das dürfte ja mittlerweile standard sein das man mit sudo arbeitet und der root Account deaktiviert ist.
Dann arbeitet das ganze doch recht sicher, den ein Angreifer müsste er um Apache Auth rumkommen, dann den User erraten und dann auch noch sein Passwort. Was will man mehr :)
@dtdesign
Im Urlaub will ich aber schlafen, und wenn ich meine Kisten nicht prüfen kann kann ich nicht schlafen. Also ist eine Webshell die letzte möglichkeit neben einer Einwahl mit GSM oder UMTS in ein extrem Teures (ausländisches) Netz nur um 3 oder 4 standardbefehle abzusetzen.
-
uwe_krause
- Posts: 8
- Joined: 2007-04-19 15:09
Re: SSH oder VPN?
Erst mal Dank für die Antworten, ich habe jetzt einiges, worüber ich nachdenken kann.
Der Beitrag von jfreund hat mich ziemlich davon überzeugt, daß das ganze wohl über einen Proxi laufen muss, anders kann ich mir nicht erklären, daß der Hotspot (betrieben vom Frenmdenverkehrsverein an 3 Parkplätzen im Städtchen) für jedermann frei und ohne Registrierung oder Anmeldung zugänglich ist.
Ich würde sowas ohne zusätzliche Sicherheitsvorkehreungen und Filter jedenfalls nicht betreiben wollen...
Für dtdesign: Gerade der Port 22 ist bei diesen Hotspots gesperrt. Und auf meine Nachfrage wird der auch nicht freigemacht Originalton: "Wir haben doch soviele Dienste freigegeben, warum brauchen Sie denn SSH?".
Daß die Umlegung von ssh auf einen anderen Port keine zusätzliche Sicherheit bringt, ist klar.
Aber, seitdem ich den Port umgelegt habe, ist mein tägliches Logfile sehr viel kleiner und lesbarer geworden. Peter, Susanne, MickyMaus, BillGates und Co tauchen nur noch ganz selten im Logfile auf.
Egal, ich werde es wohl über ein Webinterface machen, auch wenn mir sowas nicht gerade behagt.
Ist eigentlich möglich, auch über das Webinterfaß die Anmeldung über Public/Privat-Key durchzuführen?
recht vielen Dank für Eure Bemühungen,
Uwe
Der Beitrag von jfreund hat mich ziemlich davon überzeugt, daß das ganze wohl über einen Proxi laufen muss, anders kann ich mir nicht erklären, daß der Hotspot (betrieben vom Frenmdenverkehrsverein an 3 Parkplätzen im Städtchen) für jedermann frei und ohne Registrierung oder Anmeldung zugänglich ist.
Ich würde sowas ohne zusätzliche Sicherheitsvorkehreungen und Filter jedenfalls nicht betreiben wollen...
Für dtdesign: Gerade der Port 22 ist bei diesen Hotspots gesperrt. Und auf meine Nachfrage wird der auch nicht freigemacht Originalton: "Wir haben doch soviele Dienste freigegeben, warum brauchen Sie denn SSH?".
Daß die Umlegung von ssh auf einen anderen Port keine zusätzliche Sicherheit bringt, ist klar.
Aber, seitdem ich den Port umgelegt habe, ist mein tägliches Logfile sehr viel kleiner und lesbarer geworden. Peter, Susanne, MickyMaus, BillGates und Co tauchen nur noch ganz selten im Logfile auf.
Egal, ich werde es wohl über ein Webinterface machen, auch wenn mir sowas nicht gerade behagt.
Ist eigentlich möglich, auch über das Webinterfaß die Anmeldung über Public/Privat-Key durchzuführen?
recht vielen Dank für Eure Bemühungen,
Uwe
Re: SSH oder VPN?
Ja, siehe hierzu z. B. http://www.rootforum.org/forum/viewtopic.php?t=46031uwe_krause wrote:Ist eigentlich möglich, auch über das Webinterfaß die Anmeldung über Public/Privat-Key durchzuführen?