SSH-Sicherheit

Abgedreht

Um ein System auch aus der Ferne warten zu können, wird meist ein SSH-Zugang
eingerichtet.
Bei Systemen, die aus dem Internet heraus zu erreichen sind, kann dies schnell
ungewollte
Besucher anlocken. Der Open-Source-Tipp in diesem Monat schaut sich an, wie sich
ein solcher
SSH-Zugang absichern lässt, um ungewollte Besucher vom System fernzuhalten.
Eine Vielzahl mobiler Endgeräte sowie immer mehr Internet-of-Things-Devices bevölkern die Unternehmensnetze. Für Administratoren bedeutet dies, einen wahren ... (mehr)

Wer sich einmal die Logdateien von öffentlich zugänglichen SSH-Servern ansieht, trifft immer wieder auf Verbindungsversuche, die der Service mit der Fehlermeldung "Bad protocol version identification" beendet. Hierbei handelt es sich in den meisten Fällen um Clients, die nach dem Zufallsprinzip Server kontaktieren, um dort Malware zu platzieren. Ob überhaupt ein passender Service auf der Gegenseite lauscht, interessiert den Angreifer meistens nicht – er versucht einfach, mittels Brute-Force möglichst viele Rechner zu kontaktieren, um dann zumindest auf einigen Rechnern einen verwundbaren Service zu finden, um hierüber dann die Malware auf das System laden zu können.

Andere Fehlermeldungen sind beispielsweise "Failed password" or "Invalid user", bei denen ein Benutzer (oder ein Angriffstool) tatsächlich versucht, sich auf dem Server mittels SSH anzumelden. Diese Zugriffsversuche können je nach Konfiguration des Servers sehr schnell zum Erfolg führen und sollten in jedem Fall unterbunden werden.

Zum einen sollte natürlich mit einer korrekten Konfiguration des SSH-Servers begonnen werden. Hier bietet es sich beispielsweise an, eine Anmeldung mit Hilfe eines Passworts zu verbieten. Benutzer müssen dann beispielsweise über einen entsprechenden öffentlichen Schlüssel oder ein Kerberos-Ticket verfügen, damit die Anmeldung auf dem Server funktioniert. Auch sollte das direkte Login mit dem Root-Account oder einem anderen System-Konto nicht möglich sein. Ansonsten erspart man potenziellen Angreifern die Hälfte der Arbeit, da diese nur noch das Passwort herausfinden müssen – der Benutzername "root" ist ja bereits allgemein bekannt.

Auf die SSH-Protokoll-Version 1 lässt sich auch verzichten, also kann sie auf dem Server komplett abgeschaltet werden. Eine weitere sinnvolle Maßnahme besteht darin, den Server nicht auf dem Standard-SSH-Port 22 zu betreiben, wenn dies denn möglich ist. Somit

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Mehr zum Thema

Brute-Force-Angriffe mit Fail2ban verhindern

Wer denkt, mit dem Schließen aller Ports außer SSH wäre es getan, irrt. Brute-Force-Angriffe darauf sind trivial und gelingen häufig in kurzer Zeit. Fail2ban schiebt einen Riegel vor.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019