ssh nur für arcor

Dieses Thema im Forum "Webserver (Software): Linux, Unix, etc." wurde erstellt von bdoehring, 25. Juni 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. bdoehring

    bdoehring New Member

    Registriert seit:
    30. März 2006
    Beiträge:
    32
    hallo,
    ich habe einen 1&1 root server und würde gerne den
    ssh port nur für arcor dsl nutzer offen lassen:
    84.58.232.*
    wo kann ich das einstellen?

    grüße
    björn
     
  2. sitepush

    sitepush Eingetragener Provider

    Registriert seit:
    10. März 2004
    Beiträge:
    1.616
    Ort:
    Landshut
    Firmenname:
    SPIEGLHOF media GmbH
    Anbieterprofil:
    Klick
    AW: ssh nur für arcor

    iptables -A INPUT -p tcp --dport 22 -s ! 84.58.232.0/24 -j DROP
    iptables -A INPUT -p tcp --dport 22 -s 84.58.232.0/24 -j ACCEPT

    Aber Vorsicht: Bekommst Du eine IP zugewiesen, die außerhalb des Ranges liegt, stehst Du selbst "ante portas". Sowas sollte man daher nur für feste IPs machen.
     
  3. millo

    millo Erfahrener Benutzer

    Registriert seit:
    29. Juli 2004
    Beiträge:
    636
    AW: ssh nur für arcor

    Nimm auf jeden Fall 84.58.0.0 (weiß leider grad nicht welches CIDR das ist :p), denn ich glaube kaum dass du bei Arcor immer eine IP aus genau dem /24'er Bereich zugeteilt bekommst.
     
  4. probe

    probe Eingetragener Provider

    Registriert seit:
    3. September 2002
    Beiträge:
    795
    Firmenname:
    Probe Networks
    Anbieterprofil:
    Klick
    AW: ssh nur für arcor

    /16
     
  5. freelancer

    freelancer Erfahrener Benutzer

    Registriert seit:
    8. März 2002
    Beiträge:
    1.066
    AW: ssh nur für arcor

    warum ?
    was spricht gegen clientzertifikate ?

    ansonsten -> hosts.{allow,deny}

    beste grüsse
     
  6. H75

    H75 New Member

    Registriert seit:
    20. Januar 2005
    Beiträge:
    119
    Ort:
    im wilden Westen
  7. sitepush

    sitepush Eingetragener Provider

    Registriert seit:
    10. März 2004
    Beiträge:
    1.616
    Ort:
    Landshut
    Firmenname:
    SPIEGLHOF media GmbH
    Anbieterprofil:
    Klick
    AW: ssh nur für arcor

    Ich will hier keine Diskussion über "Security by Obscurity" anzetteln, da es die hier schon oft genug gab, ABER: ein Ausweichport hält Dir nur die völlig harmlosen Skriptkiddies vom Leib, nicht die Leute, die von Hand nach Schwachstellen suchen.
    Ein Portscan und Dein "höchst geheimer" SSH-Port ist enttarnt.

    Ein sinnvolles Passwort oder besser noch Keypair-Authentisierung in Verbindung mit Zugriff von einer Handvoll definierter, fester IPs macht Sinn.

    Alles andere ist Unfug und verzögert einen Angriff höchstens um ein paar Sekunden.
     
  8. H75

    H75 New Member

    Registriert seit:
    20. Januar 2005
    Beiträge:
    119
    Ort:
    im wilden Westen
    AW: ssh nur für arcor

    Warum tust du es dann?
    Wer sagt, das es ein geheimer Port ist? Wie du sicherlich selbst weisst, dauetr ein Portscan nicht sehr lange und es gibt maximal 65535 Ports. Es ist 'nur' ein anderer.
    zusätzlich noch in der /etc/shadow den hash durch ein * ersetzen. Beispiel: root:*:....... ersetzen. ;)

    Den Rest kann man unter dem Link in meinem letzen Post nachlesen, um SSH so weit wie möglich zu sichern....
     
  9. AW: ssh nur für arcor

    Vermutlich weil Du eine voellig unpassende Antwort gegeben hast. Es ging darum, SSH nur einem bestimmten Netzsegment zu erlauben. Den Port des Daemons zu aendern ist gerade nicht (wie Du schreibst) ausreichend.
     
  10. H75

    H75 New Member

    Registriert seit:
    20. Januar 2005
    Beiträge:
    119
    Ort:
    im wilden Westen
    AW: ssh nur für arcor

    Wieso unpassend? Mein Post enstand, nachdem ich das hier gelesen hatte. ;)
    Denn Arcor hat nicht nur diesen einen Bereich ... ;)

    212.144.61.0 - 212.144.62.255
    Arcor AG & Co

    84.57.113.0 - 84.61.96.255
    ARCOR AG
     
  11. AW: ssh nur für arcor

    Weil Du behauptest, dass es genuegen wuerde, den Port von SSH zu aendern. Und das ist einfach Quatsch.

    Zusammenhang!? Wolltest Du das oben schreiben als Du geschrieben hast, dass es genuegt den Port zu aendern oder wie!?
     
  12. H75

    H75 New Member

    Registriert seit:
    20. Januar 2005
    Beiträge:
    119
    Ort:
    im wilden Westen
    AW: ssh nur für arcor

    Ich gab den Tip, den Port zu ändern und zusätzlich SSH abzusichern.

    Was nützt es ihm, einen bestimmte IP oder einen bestimmten Bereich für den zugriff freizugeben, wenn er nachher ne andere IP hat, wenn er unbedingt auf den Server dran muss? Gar nichts. Ich selbst hatte nämlich schon eine statische IP, die für den Zugriff auf SSH freigegeben war. Und als ich unbedingt an den Server ranmusste, war ich nicht zu Hause, hatte ich ne andere IP und konnte nix
    machen. Daher wurde der entsprechende Server gesperrt.

    Ps. http://de.wikipedia.org/wiki/Behauptung

    Nicht zu vergessen, das es bestimmt auch bei Arcor den einen oder anderen 'Hacker' gibt... Oder ein Arcor-Kunde wird dafür 'missbraucht'.
     
  13. sitepush

    sitepush Eingetragener Provider

    Registriert seit:
    10. März 2004
    Beiträge:
    1.616
    Ort:
    Landshut
    Firmenname:
    SPIEGLHOF media GmbH
    Anbieterprofil:
    Klick
    AW: ssh nur für arcor

    Ok, dann hatte ich Dein erstes Posting missverstanden. Hatte da rausgelesen, dass eine Portverschiebung die Musterlösung sein soll.

    Wenn Du es als zusätzliches Mittel siehst, dann ist das in Ordnung (wenn auch in meinen Augen überflüssig).

    Das soll jetzt aber kein Grund sein, dass hier alle Beteiligten den Ton verschärfen müssten. ;-)
     
  14. MarB

    MarB Guest

    AW: ssh nur für arcor

    Also den Port zu verändern halte ich für nicht sehr schlau... die sind schließlich nicht umsonst standarisiert.
    Und wenn doch, dann sollte man es zumindest nicht auf einen unpriviligierten Port legen.

    Ansonsten: SSH immer nur mit Schlüsselauthentifizierung. Da beißen sich die Scriptkiddies sowieso die Zähne dran aus.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen