• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Einstellen der Ports für SSH

F

Freddie62

Guru
Hallo
Heute habe ich erfolgreich versucht ssh zum Laufen zu bringen (Anleitung hier: archiv.debianhowto.de/de/sshconfig/). Im Howto steht auch, daß man den Standardport nicht verwenden sollte. Nun habe ich in der sshd_config einen anderen Port eingetragen. Leider scheint die Firewall von SuSe10.0 den nicht zu öffnen. Im yast habe ich auch nichts gefunden, das mich wie hier (http://www.linux-club.de/ftopic70754.html) beschrieben TCP-Ports freigeben lässt. Leider läuft yast nur im Textmodus sodaß ich nicht weiß, wo ich die beschriebene Maske finde.
Weiterhin übernimmt die config-Datei in/home/user/.ssh die "port"-Einstellung nicht, obwohl ich den Port in der config mit "Port ..." eingetragen habe. Wenn ich ssh aufrufe, will es sich nur und ausschließlich via Port 22 verbinden.
Hat vielleicht jemand eine Idee?
 
haveaniceday

haveaniceday

Hacker
In /etc/sysconfig/SuSEfirewall2 dürfte etwas wie:
FW_SERVICES_EXT_TCP="ssh"

stehen. Statt ssh musst du deine neue Portnummer eintragen.
Dann wird der Firewall an der passenden Stelle löchrig.

Haveaniceday
 
OP
F

Freddie62

Guru
Danke für die schnelle Antwort.
Witzigerweise hatte ich den Port im ssh_config eigentlich geändert und trotzdem hat er versucht Port 22 zu nutzen. Nun hab ich das Ganze nochmal geändert und geschrieben (Evtl. habe ich das Speichern vergessen!). Das Port umstellen funktioniert nun. Nur die Frage nach der Portfreigabe in der Firewall besteht immer noch.
Ich werde allerdings erst morgen weiter testen.
 
OP
F

Freddie62

Guru
Jetzt war die Antwort da, noch während ich an meiner Antwort gebastelt habe. Nun denn, ich werd's morgen vormittag austesten!
 
OP
F

Freddie62

Guru
Nu hab ich's probiert. leider antwortet der Server nicht, wenn ich die Ports in der sshD-Config, in der config in .ssh und in der SuSEfirewall2 eintrage. Dann bekomme ich nach einer Weile einen Timeout.
Muß die Firewall nach der Änderung neu gestartet werden, oder ist es sinnvoller, den Port in /etc/services zu ändern? Ggf. könnte man dort ja auch einen zusätzlichen Service einrichten?
 
panamajo

panamajo

Guru
Freddie62 schrieb:
Muß die Firewall nach der Änderung neu gestartet werden
Zum Vergrößern anklicken....
Alle eigenständigen daemons (also auch die FW und sshd) müssen nach Änderung der Konfiguration darauf hingewiesen werden. Normalerweise genügt dazu ein reload, z.B.
Code: 
# rcsshd reload

Freddie62 schrieb:
oder ist es sinnvoller, den Port in /etc/services zu ändern? Ggf. könnte man dort ja auch einen zusätzlichen Service einrichten?
Zum Vergrößern anklicken....
Das eine (Neustart nötig) hat mit dem anderen (wo trage ich Ports ein) nichts zu tun.
Nein, in /etc/services stehen die Standardports, da sollte man nicht rumpfuschen.
 
framp

framp

Moderator
Teammitglied
v.-vega schrieb:
Man sollte allerdings auch dem Client sagen das der Server nicht auf dem Standardport läuft.
Zum Vergrößern anklicken....
Good catch !
Code: 
ssh -p xyz hugo@karla.de
oder entsprechender Update von ~/.ssh/config
 
/dev/null

/dev/null

Moderator
Teammitglied
Sorry:
Das ganze nenne ich "security by obscurity" ... .

Klar kann man damit Script-Kiddies, welche auf der WinDOSe ihr Programm "Superscan" starten und damit (aus Zeitgründen) nur die ersten 1024 Ports scannen, etwas verprellen. Mehr aber auch nicht.

Wenn jemand Probleme hat, ssh zum Laufen zu bringen, sollte er solche Übungen nicht machen. Schon wg. des Erfolgserlebnisses ... .

Viel wichtiger erachte ich, dass man ausschließlich mit Zertifikaten arbeitet, somit auch die Benutzer/PW-Authentifizierung deaktiviert, ebenso die direkte root-Anmeldung. Dann gleich noch die Zahl der akzeptierten Fehlversuche auf 2 reduzieren (Zertifikate irren sich im Gegensatz zu PW-Eingebern nicht). Und wie man mit Hilfe von Firewallregeln ganz hartnäckige in die Zeitschleife schickt, wurde ja hier auch schon sehr schön beschrieben. Und gerade die Abwehr auffälliger IP´s ist viel wirkungsvoller, als den Port auf den der sshd horcht, nach oben zu verschieben.

MfG /dev/null
 
framp

framp

Moderator
Teammitglied
/dev/null schrieb:
Klar kann man damit Script-Kiddies, welche auf der WinDOSe ihr Programm "Superscan" starten und damit (aus Zeitgründen) nur die ersten 1024 Ports scannen, etwas verprellen. Mehr aber auch nicht.
Zum Vergrößern anklicken....
ACK

Das schuetzt vor ScriptKiddieAttacks - aber nicht vor professionellen Angriffen. Keys sind die einzig wahre Sicherung.

Allerdings habe ich seit de Aenderung des Ports bei mir fast Ruhe - nur noch so 2 pro 1/2 Jahr ... Vorher waren es 2 pro Woche ...
 
/dev/null

/dev/null

Moderator
Teammitglied
... was ja genau meinen Beitrag (indirekt) bestätigt.

Die Frage ist, was stört uns das vergebliche Anklopfen? Und die von dir genannten Zahlen sind ja wirklich nicht "erschreckend". Weder die auf :22 noch die "weiter oben". Manche haben eben so viel Zeit, dass sie bis zum Ende durchscannen lassen.

ABER: Wenn unsere fachkundigen Politiker den Einsatz, ja sogar schon den Besitz und die Verbreitung von "Hackertools" dann endlich verbieten werden - ja dann haben wir die lang ersehnte Ruhe. Denn dann ist es verboten, was die Kiddies da machen. Dann werden sich unsere Gefängnisse füllen mit Leuten, die Portscanns gemacht haben. Ach, wird das schön ... .

Nur ich werde arbeitslos ... :)

MfG /dev/null
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben