Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: ssh van buitenaf  (gelezen 3747 keer)

Offline Math.

  • Lid
ssh van buitenaf
« Gepost op: 2007/03/17, 13:42:41 »
Als ik op mijn server openssh geïnstalleerd heb staan, kan ik er dan ook van buitenaf opkomen? Of moet ik dan nog iets instellen/installeren? Lokaal kan ik er wel gewoon opkomen.

blubber

  • Gast
ssh van buitenaf
« Reactie #1 Gepost op: 2007/03/17, 15:13:36 »
Poort 22 moet open staan. Ik heb je even ge-nmap-t en zo te zien staat momenteel alleen 8080 open.

ssh van buitenaf
« Reactie #2 Gepost op: 2007/03/17, 16:13:35 »
Zet poort 22 open in je router, tenzij je een andere poort gebruik natuurlijk, zie daarvoor /etc/ssh/sshd_config :)

Offline siegi

  • Lid
ssh van buitenaf
« Reactie #3 Gepost op: 2007/03/17, 16:30:07 »
een goede tip als je niet altijd je ip adres wil onthouden kan je bij http://www.dyndns.com/ een adres aanmaken zodat je je pc kan berijken door bv math.homelinux.com.  
je hebt dan wel nog het programma ddclient nodig om het adres te telkens te updaten.
ssh poort kan je ook naar een hogere poort zetten bv 2385 extra veiligheid.
in /etc/ssh/sshd_config is het te doen. Dan moet je wel die poort openzetten.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
ssh van buitenaf
« Reactie #4 Gepost op: 2007/03/17, 16:43:13 »
ssh zou ik lekker op 22 houden.
Zie ook het artikel en de reacties hier:
http://ubuntu-tutorials.com/2007/02/14/what-you-ought-to-know-about-securing-ssh/

Voor de veiligheid zou je dan fail2ban kunnen installeren.
fail2ban zit gewoon in synaptic, en hier kan je de handleidingen etc. lezen:
http://www.fail2ban.org/wiki/index.php/Main_Page

Offline siegi

  • Lid
ssh van buitenaf
« Reactie #5 Gepost op: 2007/03/17, 16:45:28 »
Citaat van: Johanvd
ssh zou ik lekker op 22 houden.
Zie ook het artikel en de reacties hier:
http://ubuntu-tutorials.com/2007/02/14/what-you-ought-to-know-about-securing-ssh/

Voor de veiligheid zou je dan fail2ban kunnen installeren.
fail2ban zit gewoon in synaptic, en hier kan je de handleidingen etc. lezen:
http://www.fail2ban.org/wiki/index.php/Main_Page
Ik denk dat je tekst juist het tegenovergestelde zegt.  Ze moeten dan eerst een poort scanner draaien op je pc, maar is natuurlijk niet moeilijk.  En beter ding is wat mijn broer eens had laten zien eerst aankloppen op een andere poort, en dan komt de ssh poort voor een paar seconden open.  of is dat jouw progje?
one of the first steps to increasing the security of your machine is to change the default port for ssh. This can be done by editing the /etc/ssh/sshd_config file.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
ssh van buitenaf
« Reactie #6 Gepost op: 2007/03/17, 17:05:34 »
Nee hoor:
Citaat
Carsten wrote:

Changing the port might work most of the time, but not if you have a server, where many people would like to log in, e.g. ssh gateway. Telling all those people how to use a different port in their favorite client is in pain (in certain mostly dark places).
Citaat
Jeff Schroeder wrote:

Your idea of putting ssh on a different port is useless. Proof is right here:
nmap -sV -p 1-60000 yourhost
Citaat
ncinerator wrote:

Changing the port for sshd doesn’t give you any real security benefit at all. Port scanning will easily reveal what ports your computer has left open and which not.
Programs like Bounce-O-Matic are much better at mitigating automated ssh login attacks by dynamically adjusting firewall rulesets to block off those computers performing the attack temporarily.
Oftewel: security by obscurity is niet echt een goede oplossing.
Het helpt misschien een klein beetje om geautomatiseerde aanvallen te verminderen, maar daar is ook alles mee gezegd,
Het is voornamelijk lastig als ssh op een andere poort draait.

Als je ssh op poort 22 draait, en fail2ban hebt geïnstalleerd, dan is dat veilig genoeg.
Iemand die meerdere keren foutief probeert in te loggen wordt gewoon keihard geblokkeerd.
Omdat die geautomatiseerde logins bijna altijd proberen om als root in te loggen, heb je zo 99% van die attacks te pakken :)

Je kan in de configuratie van fail2ban echt van alles instellen, dus je kan het zo veilig maken als je zelf wilt.
Je kan ook je interne netwerk in de uitzonderingen zetten, zodat als je een keer typefouten maakt je niet enkele minuten geblokkeerd wordt.

fail2ban kan je ook gebruiken om bijv. FTP en andere protocollen te beveiligen.

blubber

  • Gast
ssh van buitenaf
« Reactie #7 Gepost op: 2007/03/17, 17:05:42 »
Poort veranderen voegt geen echte veiligheid toe imho. Het einige voordeel ervan is dat er minder zut in je log komt te staan. Zut:
Citaat
Mar 16 12:54:19 localhost sshd[30517]: Illegal user unknown from 218.3.120.196
Mar 16 12:54:22 localhost sshd[30519]: Illegal user unknown from 218.3.120.196
Mar 16 12:54:26 localhost sshd[30521]: Illegal user unknown from 218.3.120.196
Mar 16 12:54:33 localhost sshd[30523]: Illegal user unknown from 218.3.120.196
...
Keer duizend.

Wat wel een goed idee is, is om de AllowUsers te zetten. En een sterk wachtwoord natuurlijk.

Offline Math.

  • Lid
ssh van buitenaf
« Reactie #8 Gepost op: 2007/03/17, 17:15:26 »
Hey, bedankt voor alle reacties! :)
Volgens mij staat hij gewoon op 22, maar ik heb in m'n router/modem poort 8080 op het moment ge-poort-forward, dus ik neem aan dat ik er nu dus niet op kan komen?

edit:
Citaat van: blubber
Poort 22 moet open staan. Ik heb je even ge-nmap-t en zo te zien staat momenteel alleen 8080 open.
Sorry, ik zie het al, niet dus... :)
B.t.w. ge-nmap't, hoe doe je dat...?

Offline siegi

  • Lid
ssh van buitenaf
« Reactie #9 Gepost op: 2007/03/17, 18:09:58 »
http://en.wikipedia.org/wiki/Port_knocking dat bedoelde ik voor extreme beveiliging.  
De poort veranderen haalt iets uit,  natuurlijk niet enorm, het grote nadeel dat altijd word aangehaald is dat het voor de gebruikers moeilijker word.  Voor de rest zie ik alleen maar voordelen.

port scanner kan je ook met een gnome progje onder systeem > beheer > netwerk tools dacht ik.  (heb hier nu geen gnome)

michiel

  • Gast
ssh van buitenaf
« Reactie #10 Gepost op: 2007/03/17, 19:24:06 »
poort 22 is niet altijd een oplossing om die in je router open te zetten,
want sommige providers blokken poorten onder 1024
dus moet je hoger gaan dan dat.
meer info natuurlijk op je provider's thuispagina

Offline Johan van Dijk

  • Administrator
    • johanvandijk
ssh van buitenaf
« Reactie #11 Gepost op: 2007/03/17, 19:27:05 »
Citaat van: michiel
poort 22 is niet altijd een oplossing om die in je router open te zetten,
want sommige providers blokken poorten onder 1024
dus moet je hoger gaan dan dat.
meer info natuurlijk op je provider's thuispagina
Gebeurt dat alleen bij Belgische providers ofzo?
Ik heb er nog nooit van gehoord.

De enige poorten die vaak geblokt worden zijn de SMTP poorten, om spammers tegen te houden.

blubber

  • Gast
ssh van buitenaf
« Reactie #12 Gepost op: 2007/03/17, 19:38:33 »
Citaat van: Math.
B.t.w. ge-nmap't, hoe doe je dat...?
Zo:
$ nmap -P0 77.162.7.132

Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at 2007-03-17 14:55 CET
Interesting ports on 77.162.7.132:
Not shown: 1678 filtered ports
PORT     STATE SERVICE
8080/tcp open  http-proxy

Nmap finished: 1 IP address (1 host up) scanned in 292.731 seconds
Nmap staat standaard niet geinstalleerd, maar is uit de repo's te halen.

Offline siegi

  • Lid
ssh van buitenaf
« Reactie #13 Gepost op: 2007/03/17, 20:00:09 »
Citaat van: Johanvd
Citaat van: michiel
poort 22 is niet altijd een oplossing om die in je router open te zetten,
want sommige providers blokken poorten onder 1024
dus moet je hoger gaan dan dat.
meer info natuurlijk op je provider's thuispagina
Gebeurt dat alleen bij Belgische providers ofzo?
Ik heb er nog nooit van gehoord.

De enige poorten die vaak geblokt worden zijn de SMTP poorten, om spammers tegen te houden.
Idd sommige providers blokeren poorten.  Ik kan bv geen website op mijn pc hosten op de standaard poort.