[linux] Re: Daar wordt aan de deur geklopt...

Casper Gielen casper op dse.nl
Di Jan 9 22:01:36 CET 2007 

Op dinsdag 9 januari 2007 21:01, schreef Erik van der Meulen:
>
> Ik vraag me af of dit een normaal verschijnsel 'van deze tijd' is. Heb
dat heb je keurig geformuleerd.

> het nog niet eerder meegemaakt en kan niet inschatten wat de risico's
> zijn. Ik opereer een recente Debian box met de reguliere security

Zolang al je accounts maar goede wachtwoorden hebben valt het risico dat er 
wordt ingebroken nog wel mee. Het is in ieder geval niet groter dan het 
risico dat een willekeurige website op deze manier "gekraakt" wordt.
Maar als het mis gaat zijn de gevolgen wel veel groter.

Er is wel software (oa cracklib) dat probeert te controleren dat de 
wachtwoorden die je instelt "moeilijk" zijn, maar dat is natuurlijk nooit 
100% betrouwbaar.

> updates. De enige hinder die ik er nu van lijk te hebben is dat mijn log
> files erg groot worden, maar het voelt niet prettig dat er na 5 december
> nog aan het deurtje gemorreld wordt...

Er zijn een paar oplossingen.
1. Draai ssh op een niet standaard poort. Dat is wel een beetje "security by 
obscurity", maar alle beetjes helpen, en in praktijk denk ik dat het heel 
veel uitmaakt tegen dit soort blinde zoekacties.

2. Gebruik een firewall om alleen SSH verbindingen van vertrouwde computers 
toe te staan.  Het nadeel is dat je zelf ook niet meer kan inloggen 
van "vreemde" computers, als je dat niet van te voren hebt voorbereid.

3. Schakel wachtwoord-logins uit, en laat alleen logins met een key toe.
't nadeel is dan wel dat je een USB stick met je key moet meeslepen als je van 
een "vreemde" computer wil inloggen. Al zou je die weer op een website kunnen 
zetten, met een wachtwoord beveiligd, maar dat is meer een kwestie van het 
probleem verplaatsen.

4. Gebruik "port-knocking". Dat is een truuk waarbij je SSH poort in principe 
afgesloten is via de firewall. Maar je laat een stukje software draaien, dat 
tijdelijk een gaatje prikt als hij pakketje ontvangt op een door jouw 
ingestelde poort.

voorbeeldje:
Stel dat je port-knock-daemon luistert naar poort 23456.
Als je wilt inloggen stuur je eerst een pakketje naar poort 23456, bv door er 
toe naar te telnetten, of te browsen.
De port-knock daemon accepteert dan gedurende 1 minuut SSH verbindingen.
Jij logt in, en de port-knock daemon doet "de deur achter je dicht".
Dit systeem kun je naar believe uitbreiden, bijvoorbeeld door "knocks" op 
meerderen poorten te vereisen, of een bepaalde code die in het pakketje moet 
staan, etc...

5. Fail2Ban. Fail2Ban houdt je /var/log/auth.log in de gaten, en als er iemand 
te vaak probeert in te loggen wordt hij geblokkeerd.



En als je het echt veilig moet doe je het allemaal tegelijk ;).


-- 
	Casper Gielen
casper op gielen.name, CAPSLOCK2000 op zvdk.nl
--
> Wait a minute! Did you just compare Windows Vista with Ferrari?
It's expensive to own, expensive to fix, and makes you curse like an italian.
						-- eclectro on Slashdot


-- Attached file included as plaintext by Ecartis --

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQBFpALEIhQIPPgOSvcRAgHWAJ9srB4qiXOwS2OBz54nELVmTeq2qwCeIu/L
nVPAYjH+21lAi9aIRuwSG70=
=4BZJ
-----END PGP SIGNATURE-----

More information about the Linux mailing list