ssh beveiliging

[goseca]

ssh bevijligingen die worden gobruikt bij hot spots ,

dan bedoel ik draadloos wlan

is daar ook nog een beetje door heen te prikken


inverbant met mijn lappie topie mijn vrachtwagen



thax goseca

 

[Kerstkonijn]

Een ssh verbinding opzich is veilig. Veiliger is het wanneer je weet vanaf welke ip adressen je een verbinding zal gaan maken. Dan kan je in een firewall opgeven dat je alleen van die adressen een verbinding accepteert. Dat is nog iets veiliger.

Een probleem is wanneer iemand anders via ssh toch binnen komt op je systeem. Door het verkeer via die tunnel te laten lopen, kan je rules opstellen wat je wilt, maar kan alles wat voor dat account op het systeem toegestaan is. Het gaat immers niet via de daarvoor bestemde portnummers, maar via de tunnel over port 22. Het is dus ook van belang om de permissies voor de betreffende gebruiker goed in te stellen. Dus su naar root toestaan als het niet echt nodig is. Als het toch nodig is, probeer dan voor de betreffende commando's sudo te gebruiken. Het liefst dan nog in een chroot omgeving.

 

[Black Tiger]

Indien mogelijk, probeer dan ook het SSH1 protocol te mijden en gebruik uitsluitend SSH2, deze is een stukje veiliger.
Net als Kerstkonijn ben ik ook van mening dat het verstandig is om het gebruik van de ssh poort te beperken tot die ip adressen waar je zelf normaliter van buitenaf gebruik van maakt.

 

[eendenteam]

en om je een beetje een idee te geven, plaatsen we hier een stukje script. Je kunt zien hoe je evetueel op ip-basis toegang geeft voor een bepaalde poort (in dit geval voor ssh:22).
Onderstaad script is een deel van de firewall. Uiteraard moet je eerst zorgen, dat niemand toegang heeft tot je systeem, door alles dicht te gooien, vervolgens ga je per element (port, ip, ed.)toegang verlenen.Let wel, je moet wel weten wat en hoe je e.e.a. moet doen want voor je het weet gebeuren er "rare"dingen.

We maken in die firewall gebruik van allerlei variabelen daarom beginnen we met wat declaraties. Daarnaast maken we gebruik van het binaire bestand iptables, dat bij ons staat in de map /sbin.

Zoals je kunt zien, geven we met dit voorbeeld de willekeurig gekozen ip's
11.11.11.11 en 22.22.22.22 toegang om via port 22 het systeem in te komen. Daarnaast hebben we als ip van de ethernetkaart in dit voorbeeld 33.33.33.33 genomen.

Let wel het is maar een VOORBEELD !

# Start Firewall

# DECLARATIONS
IPTABLES="/sbin/iptables"
ETH_IFACE="eth0"
ETH_IP="33.33.33.33"
UNIPRIV="1024:65535"

$ssh_allow="11.11.11.11 22.22.22.22 "

#IP'S WHICH ARE GRANTED FOR SSH
for IP in $ssh_allow
do
$IPTABLES -A INPUT -i $ETH_IFACE -p tcp -s $IP -d $ETH_IP --source-port $UNIPRIV --destination-port 22 -j ACCEPT
$IPTABLES -A OUTPUT -o $ETH_IFACE -p tcp -s $ETH_IP -d $IP --source-port 22 --destination-port $UNIPRIV -j ACCEPT
done