Permalänk
Medlem

Bättre säkerhet i SSH

jag använder SSH till min server men nu undrar jag hur skulle kunna få mer säkerhet till den. Nu kan hela världen logga in som root o de är inte så kul.

Kan man göra så att endast de lokala ip addreserna kan få root rättigheter?

Permalänk
Medlem

japp, det kan du.

Visa signatur

Kör väl en klassisk signatur:
9900K @ 5GHz/128GB 3200MHz DDR4/3x1TB NVME/6800XT på Aorus Z390 Elite
Samsung C34F791, Svive 34C801, Xiaomi 34", Logitech MX Master 3 + G512...
Behöver för jobb, ej gamer.

Permalänk

AllowUsers *@192.168.0.* # Tillåter alla användare inom det lokala nätverket AllowUsers nallepuh nasse ior tiger@* # Tillåter endast de användare som räknas upp från resten av världen

Permalänk

Bättre är väl att stänga av root-access helt och istället logga in som vanlig användare och köra su.

Visa signatur

I don't want to be human! I want to see gamma rays! I want to hear X-rays! And I want to - I want to smell dark matter!

Permalänk
Medlem

Byta port är ju en bra idé också, kankse även att göra lite irriterande login försök/time out inställningar. Är du paranoid kan du ju förbjuda inloggning med pwd och bara köra med fördefinerade nycklar.

En liknande tråd var uppe för en tidsedan, där fanns massa tips så sök efter den.

Edit: Just det, att bara tillåta SSH2 inloggningar har för mig att det finns en "man in the middle" exploit i SSH1

Permalänk

Mitm-exploits finns väl även i SSH2.

PermitRootLogin No

Kan ju också vara lämpligt.

Permalänk
Medlem

En liten lista i prioriteringsordning:

1) Stäng av SSH1.
2) Stäng av att root kan logga in.
3) Använd krypterings nycklar istället för lösenord.
4) Begränsa vilka användare som får logga in via ssh.
5) Begränsa från vilka ip-nät användaren får logga in.

Visa signatur

Kriga mot min brute: http://gunnard.se.mybrute.com om du vågar :D

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av GunnarD
En liten lista i prioriteringsordning:

1) Stäng av SSH1.
2) Stäng av att root kan logga in.
3) Använd krypterings nycklar istället för lösenord.
4) Begränsa vilka användare som får logga in via ssh.
5) Begränsa från vilka ip-nät användaren får logga in.

6) Kör ssh på en annan port än den standardiserade.

Visa signatur

#apple.se @efnet - Frihet, Jämlikhet, Mac.

Permalänk
Medlem

okej, vet ni vilken config fil man ska gå in för att ändra det? root acces måste jag ha;)

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av sunnis
okej, vet ni vilken config fil man ska gå in för att ändra det? root acces måste jag ha;)

Varför måste du ha root?
Du kan ju logga in som din user och använda sudo.

/etc/sshd_config ligger min i på denna dator. Men det beror på vilket system du kör /etc/ssh/sshd_config annars.

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Sidde
Varför måste du ha root?
Du kan ju logga in som din user och använda sudo.

/etc/sshd_config ligger min i på denna dator. Men det beror på vilket system du kör /etc/ssh/sshd_config annars.

okej, kan ni reda upp skillnaden mellan sudo och root för mig? Kör ubuntu o de är sudo jag användrer.

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Haffe
6) Kör ssh på en annan port än den standardiserade.

Man kan även tänka sig;

7) Ändra LoginGraceTime och MaxAuthTries till lägre värden.

Tycker för övrigt att 3an i listan kan diskuteras.

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av sunnis
okej, kan ni reda upp skillnaden mellan sudo och root för mig? Kör ubuntu o de är sudo jag användrer.

Men vadå?
Logga in som vanlig användare bara, och sen kör du "su" så blir du root.
Tar typ 5 sekunder extra mot att logga in direkt som root, plus att det ökar säkerheten.

Sudo är också för att bli root, men då utför man bara ett kommando, och vill man göra nåt mer som root får man köra sudo igen. Jag använder mig dock bara av su för det är bekvämt, och så har jag inte orkat konfa sudo

Visa signatur

CCNA sedan juni 2006

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av sunnis
okej, kan ni reda upp skillnaden mellan sudo och root för mig? Kör ubuntu o de är sudo jag användrer.

root är en användare som råkar ha alla rättigheter på systemet. sudo är ett program som tillåter användare att köra kommandon med rooträttigheter.

Visa signatur

#apple.se @efnet - Frihet, Jämlikhet, Mac.

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av sunnis
okej, kan ni reda upp skillnaden mellan sudo och root för mig? Kör ubuntu o de är sudo jag användrer.

Att köra som root är onödigt och är en säkerhetsrisk. Att ens ha rootusern aktiverad är onödigt och en säkerhetsrisk.
Sudo löser alla problem. Då kör du ditt kommando med rättigheter som root. Enkelt som fan. Om du ska ändra i en fil etc.

Permalänk

Om man nu har en del att göra blir det en himla massa sudo hit och sudo dit.. Är alla ubuntuanvändare hjärntvättade att reagera så fort någon använder sig av "su"?

Om rootinloggning via ssh är inaktiverad har jag svårt att se hur rootkontot skulle vara någon större säkerhetsrisk. Det går ju lika bra att köra "sudo rm -rf /" som att göra det som root...

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av tdm

Tycker för övrigt att 3an i listan kan diskuteras.

Vad är det du undrar om att använda nycklar?

Sedan behöver man inte sätta sudo framför varje kommando man kör, ett enkelt sätt är att ge kommandot "sudo bash" då får du ett shell som körs som root.

Sedan gäller det ju att spärra sudo så att endast vissa kan köra suda och eventuellt bara ge dom tillgång till vissa kommandon som skall köras som root.

Visa signatur

Kriga mot min brute: http://gunnard.se.mybrute.com om du vågar :D

Permalänk
Hedersmedlem
Citat:

Ursprungligen inskrivet av GunnarD
ett enkelt sätt är att ge kommandot "sudo bash" då får du ett shell som körs som root.

sudo -s för ett vanilj shell, sudo -i för interaktiv login. (samma skillnad som su/su -)

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Permalänk
Medlem

okej, men jag fattar inte vart jag ska begränsa vilka ip addreser som får logga in. Har kollat lite i /etc/ssh/sshd_config men jag hittar ingen rad som heter AllowUsers ska jag behöva skriva en egen rad?

Kör för övrigt webmin på servern kan man inte enkelt confa det genom webmin så den endast tillåter ssh över de lokala ip addresserna

Edit: Även om jag stänger av root över ssh så kan dom våldta min server med hjälp av sudo om dom knäcker lösenordet till det. I ubuntu är root kontot avaktiverat

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av sunnis
okej, men jag fattar inte vart jag ska begränsa vilka ip addreser som får logga in. Har kollat lite i /etc/ssh/sshd_config men jag hittar ingen rad som heter AllowUsers ska jag behöva skriva en egen rad?

Kör för övrigt webmin på servern kan man inte enkelt confa det genom webmin så den endast tillåter ssh över de lokala ip addresserna

Edit: Även om jag stänger av root över ssh så kan dom våldta min server med hjälp av sudo om dom knäcker lösenordet till det. I ubuntu är root kontot avaktiverat

Skriv in en ny rad.

Permalänk
Medlem

En liten undran bara:

Varför är det en säkerhetsrisk att låta root logga in via ssh om man ändå kan använda su/sudo?
Loggar man in som nisse via ssh och sedan kör "su -" är det ju samma sak som att logga in som root direkt via ssh, eller?

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av dazen
En liten undran bara:

Varför är det en säkerhetsrisk att låta root logga in via ssh om man ändå kan använda su/sudo?
Loggar man in som nisse via ssh och sedan kör "su -" är det ju samma sak som att logga in som root direkt via ssh, eller?

Man kan inte utnytja några brister i SSH för att komma in utan lösenord.

Visa signatur

#apple.se @efnet - Frihet, Jämlikhet, Mac.

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av dazen
En liten undran bara:

Varför är det en säkerhetsrisk att låta root logga in via ssh om man ändå kan använda su/sudo?
Loggar man in som nisse via ssh och sedan kör "su -" är det ju samma sak som att logga in som root direkt via ssh, eller?

Det finns ett root konto på nästan alla *nix OS så därför behöver man ju "bara" gissa lösenordet, om man avaktiverar root måste man gissa både user och lösen och det är fanimig omöjligt X 2 om man inte skapat en user som heter admin eller guest förståss

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av dazen
En liten undran bara:

Varför är det en säkerhetsrisk att låta root logga in via ssh om man ändå kan använda su/sudo?
Loggar man in som nisse via ssh och sedan kör "su -" är det ju samma sak som att logga in som root direkt via ssh, eller?

Utöver dom anledningar som tidigare nämnts så kommer det att stå i loggen att användaren foobar har blivit roor via su eller sudo.

Man har bättre kontroll över vilka som har root rättigheter och utnyttjar det.

Visa signatur

Kriga mot min brute: http://gunnard.se.mybrute.com om du vågar :D

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av GunnarD
Vad är det du undrar om att använda nycklar?

Visst, nycklelbaserad inloggning som används på rätt sätt kan förbättra säkerheten, men använt på "fel" sätt gör att det är bra mycket sämre för säkerheten än vad lösenordsbaserad inloggning är.

Lägg inte ord i munnen på mig.

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av tdm
Visst, nycklelbaserad inloggning som används på rätt sätt kan förbättra säkerheten, men använt på "fel" sätt gör att det är bra mycket sämre för säkerheten än vad lösenordsbaserad inloggning är.

Lägg inte ord i munnen på mig.

Vad menar du "på fel sätt"?

Man skall självklart hålla sin privata nyckel privat på samm sätt som man håller sitt lösenord privat och använda en lösenordfras som inte är självklar..

Att använda nycklar anses av många vara säkrare än lösenord.

Och jag menar inte host nycklar kanske jag bör tillägga.

Visa signatur

Kriga mot min brute: http://gunnard.se.mybrute.com om du vågar :D

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av GunnarD
Vad menar du "på fel sätt"?

Många som använder nyckelbaserad inloggning gör det för att slippa skriva in lösenorden varje gång, dvs de kör oftast utan lösenordsfras till nyckeln (alla känner inte till ssh-agent), vilket har uppenbara nackdelar.

Sen är det lättare att hålla ett lösenord privat eftersom det går att komma ihåg, medan nyckeln måste lagras någonstans där den är säker.

Jag menar att användningen av nycklar inte automatiskt behöver betyda ökad säkerhet, men väl utfört så gör den det.

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av tdm
Jag menar att användningen av nycklar inte automatiskt behöver betyda ökad säkerhet, men väl utfört så gör den det.

Det har du alldeles rätt i! Vi som föreslog lösningen borde formulerat det bättre, då enbart nyckel kan leda till att någon behörig kommer in utan att behöva kunna pwd bara genom att starta tex putty.

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av tdm
Många som använder nyckelbaserad inloggning gör det för att slippa skriva in lösenorden varje gång, dvs de kör oftast utan lösenordsfras till nyckeln (alla känner inte till ssh-agent), vilket har uppenbara nackdelar.

Det är en säkerhetsrisk ja, men så tänkte inte jag när jag satte up det på listan.

Man skall självklart använda en lösenordfras för sina nycklar och använda ssh-agent'en om man har möjlighet till det.

Det finns dock fall där ett tomt lösenordsfras är bra att använda och det är vid ex. backup av filer genom att kopiera/rsynca över filer till en annan maskin, MEN då skall "servern" konfigurerars att bara köra ett specifikt kommando med den nyckeln.

Citat:

Ursprungligen inskrivet av tdm
Sen är det lättare att hålla ett lösenord privat eftersom det går att komma ihåg, medan nyckeln måste lagras någonstans där den är säker.

Det är en sak som höjer säkerheten, man måste ange en lösenordsfras (som kan vara lätt att komma ihåg) och en nyckel.

Citat:

Ursprungligen inskrivet av tdm
Jag menar att användningen av nycklar inte automatiskt behöver betyda ökad säkerhet, men väl utfört så gör den det.

Håller med men det finns nackdelar med alla metoder, man kan ju exempelvis ha ett unix konto utan lösenord och då kan man logga in från vilken maskin som helst.

Används nycklar på rätt sätt så kan det t.o.m. underlätta, speciellt om man använder ssh-agent'en då får man i princip "single sign on" till dom maskiner som har den publika nyckeln.

Visa signatur

Kriga mot min brute: http://gunnard.se.mybrute.com om du vågar :D

Permalänk

Bara en liten fråga, kan man inte köra med nyckel och med lösenord?
Jag menar:
Om jag skickar nyckeln till olle.
Olle ska logga in och använder nyckeln.
Olle får nu upp en ruta som frågar efter lösenord.
Olle skriver in lösenord och kommer vidare.

Då är det ju dubbelsäkerhet, för då kan bara olle logga in eftersom han har nyckeln och han får skriva in lösenord för säkerhets skull.
Går det inte att göra på det sättet?

Visa signatur

GNU/Linux Gentoo kernel-2.6.15-r1 Fluxbox.
Hemsidan ^^