Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Einstellen der Ports für SSH

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Freddie62
Guru
Guru
Beiträge: 1548
Registriert: 24. Jan 2006, 14:21

Einstellen der Ports für SSH

Beitrag von Freddie62 » 7. Nov 2006, 20:26

Hallo
Heute habe ich erfolgreich versucht ssh zum Laufen zu bringen (Anleitung hier: archiv.debianhowto.de/de/sshconfig/). Im Howto steht auch, daß man den Standardport nicht verwenden sollte. Nun habe ich in der sshd_config einen anderen Port eingetragen. Leider scheint die Firewall von SuSe10.0 den nicht zu öffnen. Im yast habe ich auch nichts gefunden, das mich wie hier (http://www.linux-club.de/ftopic70754.html) beschrieben TCP-Ports freigeben lässt. Leider läuft yast nur im Textmodus sodaß ich nicht weiß, wo ich die beschriebene Maske finde.
Weiterhin übernimmt die config-Datei in/home/user/.ssh die "port"-Einstellung nicht, obwohl ich den Port in der config mit "Port ..." eingetragen habe. Wenn ich ssh aufrufe, will es sich nur und ausschließlich via Port 22 verbinden.
Hat vielleicht jemand eine Idee?
Leap 42.3, Kernel: 4.4, LXDE. Schleppi: Dell Latitude 5520 mit Win7 Prof./Leap42.3-X64, Kernel: 4.14.15-5.g9a6fca5-default, LXDE

Werbung:
towo
Moderator
Moderator
Beiträge: 3709
Registriert: 15. Feb 2004, 16:42
Wohnort: Nimritz
Kontaktdaten:

Beitrag von towo » 7. Nov 2006, 20:32

Wenn ich ssh aufrufe, will es sich nur und ausschließlich via Port 22 verbinden.
man ssh
Signatur nach Diktat spazieren gegangen

Bild

Benutzeravatar
haveaniceday
Hacker
Hacker
Beiträge: 775
Registriert: 7. Jul 2004, 14:09
Wohnort: Paderborn

Beitrag von haveaniceday » 7. Nov 2006, 21:26

In /etc/sysconfig/SuSEfirewall2 dürfte etwas wie:
FW_SERVICES_EXT_TCP="ssh"

stehen. Statt ssh musst du deine neue Portnummer eintragen.
Dann wird der Firewall an der passenden Stelle löchrig.

Haveaniceday
The gates in my computer are AND,OR and NOT, not Bill.
Wer lesen kann und dann noch die Suche bedienen kann ist klar im Vorteil 8)

Freddie62
Guru
Guru
Beiträge: 1548
Registriert: 24. Jan 2006, 14:21

Beitrag von Freddie62 » 7. Nov 2006, 21:28

Danke für die schnelle Antwort.
Witzigerweise hatte ich den Port im ssh_config eigentlich geändert und trotzdem hat er versucht Port 22 zu nutzen. Nun hab ich das Ganze nochmal geändert und geschrieben (Evtl. habe ich das Speichern vergessen!). Das Port umstellen funktioniert nun. Nur die Frage nach der Portfreigabe in der Firewall besteht immer noch.
Ich werde allerdings erst morgen weiter testen.
Leap 42.3, Kernel: 4.4, LXDE. Schleppi: Dell Latitude 5520 mit Win7 Prof./Leap42.3-X64, Kernel: 4.14.15-5.g9a6fca5-default, LXDE

Freddie62
Guru
Guru
Beiträge: 1548
Registriert: 24. Jan 2006, 14:21

Beitrag von Freddie62 » 7. Nov 2006, 21:30

Jetzt war die Antwort da, noch während ich an meiner Antwort gebastelt habe. Nun denn, ich werd's morgen vormittag austesten!
Leap 42.3, Kernel: 4.4, LXDE. Schleppi: Dell Latitude 5520 mit Win7 Prof./Leap42.3-X64, Kernel: 4.14.15-5.g9a6fca5-default, LXDE

Freddie62
Guru
Guru
Beiträge: 1548
Registriert: 24. Jan 2006, 14:21

Beitrag von Freddie62 » 8. Nov 2006, 16:51

Nu hab ich's probiert. leider antwortet der Server nicht, wenn ich die Ports in der sshD-Config, in der config in .ssh und in der SuSEfirewall2 eintrage. Dann bekomme ich nach einer Weile einen Timeout.
Muß die Firewall nach der Änderung neu gestartet werden, oder ist es sinnvoller, den Port in /etc/services zu ändern? Ggf. könnte man dort ja auch einen zusätzlichen Service einrichten?
Leap 42.3, Kernel: 4.4, LXDE. Schleppi: Dell Latitude 5520 mit Win7 Prof./Leap42.3-X64, Kernel: 4.14.15-5.g9a6fca5-default, LXDE

Benutzeravatar
panamajo
Guru
Guru
Beiträge: 2587
Registriert: 12. Feb 2005, 22:45

Beitrag von panamajo » 8. Nov 2006, 17:16

Freddie62 hat geschrieben:Muß die Firewall nach der Änderung neu gestartet werden
Alle eigenständigen daemons (also auch die FW und sshd) müssen nach Änderung der Konfiguration darauf hingewiesen werden. Normalerweise genügt dazu ein reload, z.B.

Code: Alles auswählen

# rcsshd reload
Freddie62 hat geschrieben:oder ist es sinnvoller, den Port in /etc/services zu ändern? Ggf. könnte man dort ja auch einen zusätzlichen Service einrichten?
Das eine (Neustart nötig) hat mit dem anderen (wo trage ich Ports ein) nichts zu tun.
Nein, in /etc/services stehen die Standardports, da sollte man nicht rumpfuschen.

v.-vega
Member
Member
Beiträge: 116
Registriert: 5. Jul 2005, 11:39
Wohnort: Bottrop
Kontaktdaten:

Beitrag von v.-vega » 8. Nov 2006, 18:54

Man sollte allerdings auch dem Client sagen das der Server nicht auf dem Standardport läuft.
Bild

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4265
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp » 8. Nov 2006, 19:14

v.-vega hat geschrieben:Man sollte allerdings auch dem Client sagen das der Server nicht auf dem Standardport läuft.
Good catch !

Code: Alles auswählen

ssh -p xyz hugo@karla.de
oder entsprechender Update von ~/.ssh/config

Benutzeravatar
/dev/null
Moderator
Moderator
Beiträge: 1268
Registriert: 4. Sep 2005, 20:02
Wohnort: in Hengasch

Beitrag von /dev/null » 8. Nov 2006, 19:42

Sorry:
Das ganze nenne ich "security by obscurity" ... .

Klar kann man damit Script-Kiddies, welche auf der WinDOSe ihr Programm "Superscan" starten und damit (aus Zeitgründen) nur die ersten 1024 Ports scannen, etwas verprellen. Mehr aber auch nicht.

Wenn jemand Probleme hat, ssh zum Laufen zu bringen, sollte er solche Übungen nicht machen. Schon wg. des Erfolgserlebnisses ... .

Viel wichtiger erachte ich, dass man ausschließlich mit Zertifikaten arbeitet, somit auch die Benutzer/PW-Authentifizierung deaktiviert, ebenso die direkte root-Anmeldung. Dann gleich noch die Zahl der akzeptierten Fehlversuche auf 2 reduzieren (Zertifikate irren sich im Gegensatz zu PW-Eingebern nicht). Und wie man mit Hilfe von Firewallregeln ganz hartnäckige in die Zeitschleife schickt, wurde ja hier auch schon sehr schön beschrieben. Und gerade die Abwehr auffälliger IP´s ist viel wirkungsvoller, als den Port auf den der sshd horcht, nach oben zu verschieben.

MfG /dev/null
openSuSE Tumbleweed, Kernel 4.16.x.-desktop x86_64, KDE, Thunderbird 52.8.x
PC: Intel ® Core ™ i5- 2500, NB: TUXEDO Intel ® Core ™ i5- 4340M
S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
Schau hier: http://www.thunderbird-mail.de

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4265
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp » 8. Nov 2006, 19:53

/dev/null hat geschrieben:Klar kann man damit Script-Kiddies, welche auf der WinDOSe ihr Programm "Superscan" starten und damit (aus Zeitgründen) nur die ersten 1024 Ports scannen, etwas verprellen. Mehr aber auch nicht.
ACK

Das schuetzt vor ScriptKiddieAttacks - aber nicht vor professionellen Angriffen. Keys sind die einzig wahre Sicherung.

Allerdings habe ich seit de Aenderung des Ports bei mir fast Ruhe - nur noch so 2 pro 1/2 Jahr ... Vorher waren es 2 pro Woche ...

Benutzeravatar
/dev/null
Moderator
Moderator
Beiträge: 1268
Registriert: 4. Sep 2005, 20:02
Wohnort: in Hengasch

Beitrag von /dev/null » 8. Nov 2006, 20:07

... was ja genau meinen Beitrag (indirekt) bestätigt.

Die Frage ist, was stört uns das vergebliche Anklopfen? Und die von dir genannten Zahlen sind ja wirklich nicht "erschreckend". Weder die auf :22 noch die "weiter oben". Manche haben eben so viel Zeit, dass sie bis zum Ende durchscannen lassen.

ABER: Wenn unsere fachkundigen Politiker den Einsatz, ja sogar schon den Besitz und die Verbreitung von "Hackertools" dann endlich verbieten werden - ja dann haben wir die lang ersehnte Ruhe. Denn dann ist es verboten, was die Kiddies da machen. Dann werden sich unsere Gefängnisse füllen mit Leuten, die Portscanns gemacht haben. Ach, wird das schön ... .

Nur ich werde arbeitslos ... :-)

MfG /dev/null
openSuSE Tumbleweed, Kernel 4.16.x.-desktop x86_64, KDE, Thunderbird 52.8.x
PC: Intel ® Core ™ i5- 2500, NB: TUXEDO Intel ® Core ™ i5- 4340M
S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
Schau hier: http://www.thunderbird-mail.de

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast