het beveiligen van SSHd in Ubuntu

[Naraki]

Goede middag samen, Ik beheer verschillende Ubuntu servers en nu heb ik een vraagje.

Wij draaien SShD naar buiten toen. en nu vroeg ik me af of er meer te doen is om hem te beveiligen dan ik tot nu toe heb gedaan.

wij laten bijvoorbeeld geen remote root login toe en draaien de server op een niet standaard port ( 6666 )

fail2ban draait er ook achter zijn er nog dingen die julie me kunnen aanraden?

[Johan van Dijk]

Gebruik keys in plaats van gewone wachtwoorden. En verbied dan ook meteen het inloggen met een wachtwoord.
Extra tips zou ik nu ook niet weten.

[ivo]

Goede middag samen, Ik beheer verschillende Ubuntu servers en nu heb ik een vraagje.

Wij draaien SShD naar buiten toen. en nu vroeg ik me af of er meer te doen is om hem te beveiligen dan ik tot nu toe heb gedaan.

wij laten bijvoorbeeld geen remote root login toe en draaien de server op een niet standaard port ( 6666 )

fail2ban draait er ook achter zijn er nog dingen die julie me kunnen aanraden?

Ik snap je niet helemaal, je hebt het over veiligheid, maar in dezelfde adem noem je 4 zaken waar hackers naar op zoek zijn. Die gaan nu op zoek naar vulnerabilities in SShD, of er gaten in zitten mbt remote login. Ze hoeven niet alle poorten meer te proberen. Gaan ook op zoek naar gaten in fail2ban. Als jij de beveiliging van mijn serverpark zou doen, dan was je nu ontslagen.

[siegi]

Ik vind zelf knockd een hele goede beveiliging. Maar het levert wel een extra moeilijkheid op als je wil inloggen.
http://wiki.ubuntu-nl.org/Knockd
@ivo ik snap jouw ook niet direct hoor, fail2ban is een extra beschermingslaag.

[mrGee]

Hallo

Ikzelf heb op een eenvoudig bakje dat ik ook beheer, in ieder geval ervoor gezorgd dat
de ssh daemon alleen maar sleutels accepteert en überhaupt geen wachtwoorden, naar aanleiding van
2 tutorials van de Linux Format de poort heb ik ook veranderd.
En volgens één van de Linux Format tutorials kan je inderdaad fail2ban of denyhosts gebruiken.

Groeten Gerrit

[ivo]

@ivo ik snap jouw ook niet direct hoor, fail2ban is een extra beschermingslaag.

Jawel, maar hackers weten nu dat dit tool wordt gebruikt en hoeven dus alleen maar hun pijlen hierop te richten i.p.v. eerst te moeten achterhalen tegen welke deuren ze aanlopen.

[Johan van Dijk]

Uit nieuwsgierigheid: hoe kan fail2ban een extra veiligheidslek veroorzaken?
Voor zover ik het begrepen heb, kijkt het in de logs naar mislukte aanmeldpogingen. Mensen die proberen in te loggen als root, of als een user die niet bestaat, worden geblokkeerd via iptables. Ik vraag me serieus af hoe je een gat in sshd kan misbruiken als al het verkeer van jouw ip adres wordt geblokkeerd door iptables.
Het enige probleem dat ik nu kan bedenken is dat een aanvaller via spoofing het ip van een beheerder kan laten blokkeren.

[siegi]

@ivo
Euhm neen, wat jij aanhaalt zou betekenen dat open source software per defenitie onveilig is. Maar ik denk dat in de praktijk bewezen is dat dit juist niet zo is.

Het is niet omdat de cracker weet welke tools worden gebruikt, dat hij ook gemakkelijker binnen geraakt.
Als de vraagsteller in hier goed advies krijgt zal er juist een veiligere situatie ontstaan.
 
Eerlijk gezegd als hij alle tips gebruikt die hier worden gegeven zal je echt niet gemakkelijk binnen geraken hoor.