ssh Sicherheit bei zugriff aus dem Netz

[honky-tonk]

Hi,
ich würde gerne meinen Rechner für Zugriffe aus dem Netz per SSH freischalten.

Meine einzigen Bedenken gelten der Sicherheit.

Das sicherste wäre natürlich über einen RSA pub/priv key einzuloggen. Allerdings kann ich mich dann nicht von jedem X-beliebigen Rechner einloggen sondern muss erst den privaten key auf diesen kopieren. Das macht für mich keinen Sinn wenn ich jeden beliebigen Rechner nutzen will da der private schlüssel ja privat bleiben sollte.

die flexible Alternative ist über Passwort und Nutzername.
Jetzt meine Frage: wie lang sollte das Passwort gewählt werden damit es halbwegs sicher ist. (Laut Netz mindestens 8 Zeichen)
Und was mich auch beschäftigt kann man die Nutzernamen länge auch zur Sicherheit bei brute force attacken hinzu zählen? weil dieser ja zusätzlich erraten werden müsste.

Und zu guter Letzt...gibt es andere Bequeme und sichere Varianten?

Vielen Dank! Gruß,
Honky-tonk

 

[quicksilver121]

teamviewer kommt für dich nicht in frage ?

 

[lodex]

Keine zusätzliche Sicherheit, aber zumindest eine Verminderung der gängigsten Angriffe wäre das Ändern des Ports. Weiterhin sollte man auf dem SSH Server das root Login verbieten und generell nur einer bestimmten Gruppe das Login erlauben. Wenn dann der erlaubte Benutzer so wenig Rechte wie möglich hat, ist das Risiko schon recht gering.

 

[blablub1212]

Der SSH Zugriff ist doch gang und gebe. Dafür einfach mal den root zugriff über ssh verbieten (kann dann im nachgang über sudo/su erreicht werden) und ein ordentliches Passwort verwenden. Hier gilt je länger desto besser!

Eine leichte Methode sich ein kompliziertes Passwort zu erstellen, dass man evtl sogar im kopf behält ist es einen Satz zu verwenden wie z.B.:

honky-tonky hat heute am 20. November im Computerbase.de Forum gefragt wie man einen sicheren SSH-Zugriff ermöglichen kann.

dann nimmst die anfangsbuchstaben von jedem wort und du hast dein passwort:

h-thha2NiCdFgwmesS-Zek

 

[Green Mamba]

Den User "admin" oder "administrator" braucht man nicht erraten. Das sind auch die häufigsten Attacken auf meinen Server. Daneben sehe ich halt geläufige Namen wie "John" usw.
Daher würde ich diese Accounts mit wirklich langen Passwörtern sichern. Und ja, imho kann man den Nutzernamen zum gewissen Teil auch zur Sicherheit mit dazu zählen. Nur zum Teil, da du sicher keinen Nutzer mit dem Namen "df8s9/8_7?fs" führen willst!?

 

[hostile]

Hab seit Jahren ssh freigeschaltet (mit "PermitRootLogin no"), der eigentliche Benutzername ist recht lang und in der Gruppe wheel. Also einfach su - und fertig. Sehe da kein Problem.

gruß
hostile

 

[honky-tonk]

Hallo,
erstmal Danke für die Antworten!
der root login ist bereits für das lokale Netz gesperrt sowie der admin acc.

der momentane Nutzer hat lediglich sudo rechte für apt-get.

den größeren Schaden sehe ich allerdings in meinen auf dem Arbeitsrechner gespeicherten Datein...dass diese gelöscht/gestohlen werden.

Das Probem das ich jetzt sehe ist, dass ich mich an dem Arbeitsrechner mich mehrmals täglich an/abmelde und nicht jedes mal ein 20stelliges PW eingeben möchte...zum lokalen login reicht denke ich auch ein 8 stelliges.
Gibt es daher die Möglichkeit dem selben Nutzer ein kurzes lokales und ein langes ssh PW zuzuweisen?

 

[hostile]

PS: Mit "AllowUsers" hab ich nur zwei Benutzern die Möglichkeiten gegeben, sich mit ssh einzuloggen.

Ergänzung (20. November 2013)

PS2: Selbst ein PW wie 4bph25zbc wirst du nach ner gewissen Zeit im Schlaf eintippen und auch schnell... alles Übungssache

 

[honky-tonk]

@hostile ein ähnliches PW habe ich bereits allerdings erscheinen mir die 8 Zeichen doch relativ minimal. Mein Nutzername ist 4 reichen ^^ was allerdings fixe Vorgabe ist ;-)

 

[KillerCow]

Alternativ kann man auch zur 2-Faktor Authentifizierung per Google Authenticator greifen. Näheres dazu verrät die Suchmaschine deiner Wahl.

Zusätzlich dazu kann man die Anmeldeversuche limitieren und z.B. per iptables hartnäckige Angreifer aussperren. Ein kurzer Blogeintrag dazu: https://www.ssl-id.de/www.killercow.de/blog/?p=29

Weitere Details finden sich dann wieder per Suchmaschine.

 

[hostile]

Du kannst auch zusätzlich "Port-Knocking" machen. Gab mal vor paar Jahren in der c't nen Artikel. Aber meinst du, jemand ist so scharf auf deine Daten?

 

[mensch183]

Der eigentliche SSH-Zugang ist in Verbindung mit einer vernünftigen Passphrase (siehe Beitrag #4) eines der wenigen, ziemlich sicheren Dinge. Es ist grober Unfug, ausgerechnet an dieser Stelle auf Serverseite durch die hier im Thread gebrachten obskuren Vorschläge (anderer Port, port knocking, langer Nutzername, ...) etwas verbessern zu wollen.

Viel schlimmer sieht es in aller Regel auf dem Clientrechner aus, von dem aus man die ssh-Verbindung aufbauen möchte.

@honky-tonk
Dein viel größeres Problem ist folgendes: Du willst dich von (zitat) "jedem X-beliebigen Rechner einloggen". Dir sollte klar sein, daß jeder dieser "X-beliebigen Rechner" deine Passphrase mitschnüffeln kann, wenn er kompromittiert ist. Ein sicherer SSH-Zugang (bzw. generell der Aufbau einer sicheren Verbindung) setzt immer voraus, daß der Client nicht kompromittiert ist. Darüber solltest du dir Gedanken machen, nicht über die Serverkonfiguration der SSH , bei der man im Zweifelsfall einfach die default-config nehmen kann.

 

[Daaron]

Im Normalfall reicht ein ausreichend langes & komplexes Passwort in Verbindung mit Diensten wie Fail2Ban. Wenn man nach 3-4 Fehlversuchen erst einmal ne halbe Stunde Zwangspause hat ist ein Brute-Force quasi unmöglich.

 

[DeoDeRant]

Du könntest dir Kerberos mal ansehen, wird jedoch eher im professionellen Umfeld genutzt und ist entsprechend umfangreich

Edit: Hier ein guter Vortrag darüber:

http://www.youtube.com/watch?v=R7kn1_08LDo