Ein ssh server erlaubt es ueber Konsole von jedem Platz der Welt auf den heimischen Rechner sicher zuzugreifen. Es ersetzt das alte unsichere telnet. Auch kann man mit scp ueber ssh dadurch das unsichere ftp ersetzen. Und als besondere Eigenschaft kann man ssh dazu benutzen, um jegliche Kommunikation über das Internet abzusichern. Stichwort: tunneling. Dazu gehört auch das sogenannte X forwarding. 

 

Zugriff auf einen ssh Server ist unter Linux per ssh moeglich. Unter Windows gibt es die Moeglichkeit putty zu benutzen oder cygwin zu installieren welches eine Linux Umgebung unter Windows installiert und dann ssh innerhalb von cygwin zu benutzen.

Etwas umstaendlich ist die Tatsache, dass der putty key ein anderes Format als der ssh key hat. Allerdings bietet putty Konvertierungsprogramme dazu an.

Der Zugang per ssh muss unbedingt sicher angelegt werden denn ich habe regelmässige Portscans auf meinem Port 22. Da gibt es verschiedene Dinge das zu bewerkstelligen:
  1. root Zugang verbieten.Falls jemand als root Zugang benoetigt einfach mit einer anderen Benutzerkennung anmelden und dann su benutzen.
  2. Ausdrücklich nur bestimmte Benutzer zulassen. Damit weiß man, welche Benutzer darauf hinzuweisen sind, sichere Passwoerter zu benutzen.
  3. Die Anzahl der Benutzer moeglichst klein halten.
  4. Nur Zugang mit Credentials zulassen. Das hat den Nachteil, dass man immer einen Memorystick mit seinem privaten Schluessel mit sich runtragen muss, wenn man von beliebigen Rechnern zugreifen moechte.
  5. Nicht den Standardport fuer ssh benutzen. Wenn ein Portscan den Standardport 22 als offen zurückmeldet ist klar, dass ssh offen ist und es wird dann direkt mit ssh versucht in das System zu kommen.
  6. Mit firewall Regeln ssh schnell hintereinanderfolgende Zugriffsversuche zu verzögern oder auch abzublocken. Es gibt auch Möglichkeiten, diese ssh Zugriffsversuche an der Angreifer direkt umzuleiten. Der Angreifen versucht also bei sich selbst reinzukommen :-) (Siehe hier für die Firewallregeln. Stehen ganz am Ende).
Da meine lokalen Benutzer auch ssh Zugriff per Password auf das Gateway haben um ihre Verbindungen kontrolliert zu öffnen und schließen besteht immer die Gefahr daß ein lokaler Client ein unsicheres Password hat. Deshalb habe ich einen zweiten sshd aufgesetzt. Der horcht auf einen Port der nicht für ssh reserviert ist (irgendein unbenutzter Port eben) und erlaubt einen Zugriff nur mit keys. Damit ist Ruhe im Karton und die ewigen ssh Connect Versuche der ScriptKiddies sind zwar immer noch zu sehen - aber absolut gefahrlos.
 
Kommentar schreiben
Hinweis:
Die eMail ist versteckt und nicht öffentlich sichtbar. Sie wird benutzt um über neue Kommentare zu informieren.