gdh
Anmeldungsdatum: 22. August 2014
Beiträge: 51
|
Hi, bevor ich die fernwartung vom www probiere, wollte ich sicher gehen, dass ich nichts übersehen habe, was die sicherheit gefährden könnte. habe zur zeit nur openssh auf dem server, dazu den port verändert und ein passwort >20 stellen. hinzu kommt der sshguard, der bruteforce angriffe unterbinden soll. ist es ratsam den server so ans netz zu hängen, oder habe ich etwas übersehen?
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7658
|
Bei SSH sind Passwörter unüblich. Normalerweise nimmt man Keys (die ihrerseits auch wieder mit einem Passwort geschützt sein können). Solange es dann kein Heartbleed gibt ist alles okay... nur wenns dann um Fernwartung eines Desktops geht kommt vielleicht noch VNC und andere Dienste hinzu, dann kann man auch gleich alles über OpenVPN machen.
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
gdh schrieb: habe zur zeit nur openssh auf dem server, dazu den port verändert
Den Port zu verändern bringt relativ wenig, das fällt eher in den Bereich von Security through Obscurity. Jeder Port-Scanner findet den Port ja doch. Sicherheit gewinnt man dadurch also nicht, im Gegenteil, man holt sich noch Nachteile ins Haus, wenn man mal eine Software hat, die nur mit dem Standardport funktionieren will. Darüber hinaus gibt es dann noch Leute die dir erzählen werden, dass Dienste mit Ports >1024 von jedem Nutzer geöffnet werden können. Du kannst bei einem höheren Port also nie sicher sein, ob der Dienst wirklich vom System gestartet wurde, oder ob da jemand den Dienst ersetzt hat. Wie frostschutz schon schrieb: nimm SSH-Keys, da kann dann auch keiner Brute-Forcen oder sonstiges machen. Wer deinen Key nicht hat, kommt nicht ran. Punkt. Und weitere Sicherungsvorkehrungen braucht man dann höchstens um zu verhindern, dass einem die fehlgeschlagenen Login-Versuche im Log die Festplatte zumüllen. ~jug
|
gdh
(Themenstarter)
Anmeldungsdatum: 22. August 2014
Beiträge: 51
|
super beitrag, vielen dank
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
gdh schrieb: ja mit den keys hatte ich gelesen, hab aber nur infos gefunden, dass dies zu komfortzwecken genutzt wird.
Nein. Das wird auch aus gründen der Sicherheit genutzt. Ein Passwort kann man mit Brute-Force herausbekommen. Ganz egal welche Vorkehrungen du dagegen triffst. Dann dauert es halt länger oder man nutzt ein Botnetz und versucht es von verschiedenen IPs … Einen Key wird man nicht rausbekommen. Jedenfalls nicht in diesem Leben oder nur mit sehr sehr viel Glück. ~jug
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7658
|
jug schrieb: Einen Key wird man nicht rausbekommen. Jedenfalls nicht in diesem Leben oder nur mit sehr sehr viel Glück.
Also wer soviel Glück hat daß er einen Key erraten kann, der hätte das dann doch besser auf ein paar Lottoscheine angewendet... 😀
|
gdh
(Themenstarter)
Anmeldungsdatum: 22. August 2014
Beiträge: 51
|
ok wollte das mit ssh keygen erstellen rsa 4096 okay?
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
|
gdh
(Themenstarter)
Anmeldungsdatum: 22. August 2014
Beiträge: 51
|
okay, danke
wie ist das denn, wenn ich jetzt noch nen win rechner dazu bringen möchte? auch wieder ein clientseitiger rsa key und nen public key der auf dem server gespeichert wird? oder kann ich den bereits erzeugten rsa key vom client nehmen?
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Wenn es dein privater Rechner ist, dann kannst du denselben (privaten) Schlüssel nehmen, also einfach auf die Maschine rüberkopieren. Üblich ist es durchaus, mit Schlüsseln nicht zu sparsam zu sein. Also ruhig einen weiteren privaten erstellen und den entsprechenden öffentlichen auf dem Server ablegen. Ich hatte das nur mal vor Jahren mit Filezilla und SFTP realisiert und das war ein ziemliches Gefrickeln, den privaten Schlüssel in das passende Format zu konvertieren. Behalte bei der Nutzung von Windows also bei der (eventuellen) Fehlersuche das Schlüsselformat im Hinterkopf. Wenn eine zweite Person Zugang bekommen soll, dann erstellt diese sich natürlich ihren eigenen Schlüssel und gibt dir den öffentlichen.
|
gdh
(Themenstarter)
Anmeldungsdatum: 22. August 2014
Beiträge: 51
|
je geht drum mit nem linux laptop mobil arbeiten zu können und zu hause dann doch den desktop zu nutzen. danke für den hilfreichen beitrag!!!
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7658
|
gib jedem gerät einen eigenen private key. wenn dein laptop mal geklaut wird, nimmst du beim server den key des laptops aus den authorized_keys raus. wenn du den key kopierst, musst du ansonsten allen geräten einen neuen key spendieren...
|
gdh
(Themenstarter)
Anmeldungsdatum: 22. August 2014
Beiträge: 51
|
frostschutz schrieb: gib jedem gerät einen eigenen private key. wenn dein laptop mal geklaut wird, nimmst du beim server den key des laptops aus den authorized_keys raus. wenn du den key kopierst, musst du ansonsten allen geräten einen neuen key spendieren...
was den laptop betrifft bin ich ein sicherheitsnazi, damit kann niemand ohne erheblichen aufwand etwas anfangen. da ist nen security chip drin, der das bios sichert. selbst wenn die batterie rausgenommen wird, kann nicht gebootet werden ohne boot passowort und die festplatte ist nur in diesem laptop lesbar. alle anderen os haben recht sichere PW. so einen aufwand, den chip auszulöten und dann noch auszulesen, bzw. erstmal reverse engeneeren um zu wissen, was das genau ist.... das macht doch keiner. werde aber dennoch jedem rechner nen eigenen key geben, im fall der fälle ist es weniger arbeit.
|