SSH Frage

[KingJoshii1000]

Hallo,
Wir nutzen das Tekbase Interface zum verwalten unserer Gameserver bzw zur installation von Gameservern.
Ich würde aber gerne den Port von dem SSH Server ändern.
Tekbase verwendet aktuell den Port 22.
Gibt es die Möglichkeit das nur das Interface sich auf dem Port 22 einloggen kann und die anderen User nur über den Port z.B 9999 sich einloggen können?
Oder gibt es da eine bessere Lösung?

MFG

 

[Labtec]

Warum willst du den Port ändern?
Ein 10 Sekunden Scan und man hat denn SSH-Port sowieso.

 

[KingJoshii1000]

Hallo,

verhindert das FailToBan nicht?
Wie sichere ich den SSH Port den ordentlich ab?
Hab den Root Login gesperrt, einen neuen User angelegt mit sicherem Passwort (Sonderzeichen,Zahlen,Buchstaben).
Wie gesagt wir würden ungern den Port 22 nutzen

 

[Labtec]

fail2ban analysiert die Log-Files und setzt Ban's für die IP's nach x Fehlversuchen.

 

[MainframeX]

Was spricht gegen den Port 22?
Der ssh-Server kann grundsätzlich an mehreren ports lauschen, verwendet aber immer die gleiche Config, für unterschiedliche Configs muss man mehrere Instanzen starten.
Der Sinn erschließt sich mir trotzdem nicht, ob Port 22 oder 40333 macht keinen Unterschied.

Fail2Ban hockt auf den Logs und sperrt IP wenn bestimmte Muster in den Logs auftauchen
Connection failed from: x.y.z.a
Invalid user from: x.y.z.a

Wenn es geht würde ich auf public-key Authentifizierung umstellen.
Beim Passwort kommt es weniger auf die (umständlich zu merkenden) zeichen an sondern möglichst viele Zeichen die keine Wörterbucheinträge abbilden.
also lieber:
MeinAdminLiegtMeistBlauInDerEcke
áls
UZ&&8Äß
was sich kein Schwein auf dauer merken kann

siehe auch:
https://xkcd.com/936/

 

[KingJoshii1000]

Hallo,
public-key Authentifizierung wäre unsere 2te Wahl gewesen.
Wie genau stelle ich das den ein?
Ich benutze Putty.

MFG

 

[MainframeX]

http://www.systemengineers.de/linux/debian/key-basierte-ssh-logins-mit-putty

Wo der Public-Key auf dem Server hinterlegt werden muss steht in der sshd_config
meistens im home Verzeichnis des users unter .ssh/authorized_keys
da können auch mehrere Keys drin stehen.

Und immer aufpassen, das eine Session offen bleibt, in der man die config wieder auf default setzen kann, falls was schief läuft

 

[Mumpitzelchen]

Das ist etwas was man auf dem Server in der sshd_config einstellt. Für die Clientseite, auch mit putty, gibts hunderte Tutorials im Netz
Eine weitere Möglichkeit der Absicherung ist auch Port Knocking via knockd.
Zudem kann man 2 ssh server laufen lassen: einer lauscht auf Port 22 localhost only für diese Gameserver Software, der Andere auf Port xy.
Aber wie schon gesagt ist das reine Pseudosicherheit, ein einfachen Zugriff auf jeden Port der antwortet und man bekommt bei ssh sofort ein

Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
SSH-2.0-OpenSSH_5.9p1 Debian-5

egal auf welchem Port. Public Key ist m Größenordnungen sicherer.

 

[MainframeX]

Und den private Key nie mit jemandem teilen, nicht per Mail verschicken und auf keine ftp server laden.
Wenn man Paranoid ist auf nem TrueCrypt verschlüsselten USB-Stick aufbewahren und nur so lange wie nötig Mounten

 

[KingJoshii1000]

Hallo,
das mit den AuthKeys hat prima geklappt, danke an euch

MFG

 

[Daaron]

MeinAdminLiegtMeistBlauInDerEcke

Jetzt braucht mein Chef n neues Master-PW...