Sicherheit von SSH (etwas) erhöhen

Nachdem kürzlich bekannt wurde, daß sich beim Patchen der OpenSSL-Bibliothek in Debian 4.0 ein Bug eingeschlichen hat, welcher alle unter Debian mit OpenSSL erzeugten Schlüssel (egal ob SSH, SSL oder OpenVPN) quasi unbrauchbar macht, haben wir nun in mehrstündiger Arbeit alle Schlüssel ausgetauscht. Ich warte gerade noch auf die letzten aktualisierten SSL-Zertifikate (ja, auch die müssen neu ausgestellt werden, da sich ja der Private Key geändert hat).

An dieser Stelle ein paar Hinweise zur zusätzlichen Absicherung von SSH-Zugängen:

  • am besten SSH durch entsprechende Firewall-Regeln nur von bestimmten IPs aus erlauben (z.B. vom Büro-Netzwerk)
  • den privaten SSH-Schlüssel nur auf einem “Kommunikations-Server” ablegen, und von dort aus auf den jeweiligen Zielserver connecten. Also nicht den privaten Schlüssel auf jeder Maschine ablegen, nur um faul bequem von jedem Rechner auf jeden Rechner connecten zu können.
  • NIEMALS root-Anmeldung per SSH erlauben! In /etc/ssh/sshd_config den Eintrag “PermitRootLogin” auf “no” setzen.
  • Falls z.B. für automatische Backups ein root-Login möglich sein muss, dann PermitRootLogin auf “forced-commands-only” setzen, und den jeweils erlaubten Befehl in der authorized_keys2 dem jeweiligen Schlüssel voranstellen, z.B.: command=”/usr/bin/rsync –server –sender […]” ssh-rsa […]
  • Falls man den Zugriff auf SSH nicht per Firewall regulieren kann/will, kann man in authorized_keys2 mit der Option from festlegen, von wo aus dieses Login akzeptiert wird, z.B.: from=”12.34.56.78″ ssh-rsa […]

Weitere Ideen?

5 Bemerkungen zu “Sicherheit von SSH (etwas) erhöhen”

  1. Sebbi

    Den Port ändern. Ich weiß, keine Sicherheitsmaßnahme, aber es schützt schon mal vor den meisten “Passwortausprobierern”.

  2. Andreas

    Testen, so lange noch eine Shell offen ist, oder man einen sicheren alternativen Zugang hat ;-)

    Gerade mit Firewall-Regeln oder from=”IP” kann man sich sonst sehr schnell selber ausschließen.

  3. matthias

    Keine Anmeldung via Passwort erlauben, nur mit Key. Key regelmäßig ändern und sicher aufbewahren.

  4. Daniel

    Hier vllt noch was
    http://b.mafia-inc.de/?p=332

  5. XaraNet Blog

    Kurz und Knackig (02.08.2008)…

    Sicherheit von SSH (etwas) erhöhen
    Suchmaschine für mp3-Dateien
    Spamassassin: Zeit für neue Regeln
    Thunderbird-Erweiterung: Nie wieder Dateianhänge vergessen
    Zune Theme für WinXP
    DNS Server auf Cache Poisoning testen

    ……

Einen Kommentar schreiben