SSH mit key, und zwar nur mit key

rucksman007 · Beitrag von **rucksman007** » 12.12.2018, 17:42

Ich bin neu im Thema Homematic und richte mir grade meine ersten Geräte und natürlich die Zentrale (Raspberry3 mit Raspberrymatic) ein. Soweit läuft alle wie geschmiert. Ich möchte jetzt den SSH Zugang ein wenig absichern und auf keys umstellen (und evtl. auch den Port ändern - security by obscurity). Das ist an sich ja kein Problem, aber nur die halbe Miete. Ich will den SSH Zugang nur noch per key erlauben und nicht mehr über ein Passwort. Dazu müßte ich aber die sshd_config ändern. Auch das ginge theoretisch, beim nächsten Update wäre die aber weg. Gibts da irgendeine Lösung dafür?

jp112sdl · Beitrag von **jp112sdl** » 12.12.2018, 17:50

Hi!

Weshalb der Aufwand?
Hast du etwa eine Portweiterleitung auf deine Raspberrymatic?

Oder Angst vor Angreifern im eigenen Heimnetz?

Du könntest zB in /etc/config/rc.d ein Skript ablegen, das prüft, ob deine gewünschte Änderung in der sshd_config vorhanden ist und - wenn nicht - dann das Dateisystem rw mountet, die Datei ändert, wieder ro mountet und den sshd neustartet.

Die Datei in /etc/config/rc.d überlebt ein "Update", sie liegt im user-space und ist auch in Backups inkludiert.

rucksman007 · Beitrag von **rucksman007** » 12.12.2018, 19:08

Natürlich keine Port-Weiterleitung. Ist zum Teil sicher auch Macht der Gewohnheit, weil ich das prinzipiell mit meinen Servern so handhabe. Und wenn die ganze Infrastruktur so aufgebaut ist, wäre es schön, wenn man sich dann für Raspberrymatic nicht umgewöhnen müsste.

jmaus · Beitrag von **jmaus** » 12.12.2018, 19:46

Dein Heimnetz ist aber nicht das Internet und es grenz IMHO schon an paranoia sein internes Netzwerk so abzusichern wie man das mit servern im Internet macht. Lass also diese Liebesmühe und fang nicht an an der sshd_config rumzupatchen. Sowas macht man bei einer FritzBox ja auch nicht.

Und übrigens bringt das verändern des ssh ports überhaupt nicht. Es ist leider ein weit verbreiteter Irrglaube das man den SSH Port nur auf was anderes setzen muss und schon hat man mehr sicherheit. Jeder halbwegs gute Portscanner hat den anderen Port in wenigen sekunden ausgibdig gemacht. Auch hier machst du es dir mit deinen Servern unnütz schwierig. Verwende lieber Mechanismen wie fail2ban um angreifer frühzeitig auszusperren. Und wenn du ohnehin immer auf reine key Authentifizierung stellst musst du auch vor brute force attacken keine angst haben und kannst den ssh getrost auf port 22 lassen.

rucksman007 · Beitrag von **rucksman007** » 12.12.2018, 21:13

jmaus hat geschrieben: ↑
12.12.2018, 19:46
Dein Heimnetz ist aber nicht das Internet und es grenz IMHO schon an paranoia sein internes Netzwerk so abzusichern wie man das mit servern im Internet macht. Lass also diese Liebesmühe und fang nicht an an der sshd_config rumzupatchen. Sowas macht man bei einer FritzBox ja auch nicht.

Es geht ja nicht nur um die Absicherung, sondern wie geschrieben um die Anpassung an die restliche Infrastruktur (key agent, ssh cient, ...).

jmaus hat geschrieben: ↑
12.12.2018, 19:46
Und übrigens bringt das verändern des ssh ports überhaupt nicht.

Da gibt es durchaus unterschiedliche Meinungen. Auch meine eigenen Erfahrungen zeigen, dass es genug script kiddies gibt, die stumpf die Standard-Ports abgrasen, weil sie es nicht besser wissen oder können. Wenn man durch so einen simplen Vorgang wie Umstellung des Ports diese Attacken schon mal nicht mehr hat, lohnt es sich - für mich zumindest. Aber das muss jeder für sich entscheiden.

Wir schweifen ab... Muss in dem Fall also der Standard reichen, denn auf Gebastel wie von jp112sdl (danke trotzdem für die Idee) vorgeschlagen hab ich keine Lust.

Familienvater · Beitrag von **Familienvater** » 12.12.2018, 21:36

Hi,

Du kannst Dich doch mit einem Key per SSH anmelden, aber eben zusätzlich auch mit Benutzer+Passwort. Also zumindest habe ich das auf meiner CCU1 schon so gehabt, und auf meiner CCU2 auch, und auf meiner piVCCU2 melde ich mich am CCU-Container auch per Key an, entweder vom "großen" Linux, oder auch per Putty, allerdings habe ich den Key da "hart" im Verbindungsprofil drin.

Es gäbe für mich ein ganz anderes Thema, weshalb ich ein Key-Only-Logging nicht machen würde:
Wenn man irgendwann mal irgendwelche Probleme hat, kommt man ohne den Key garantiert nicht mehr unter die Motorhaube, wenn man nur das Passwort verbaselt hat, kann man das über die WebUI jederzeit wieder ändern. Natürlich gibt es ggf. noch n-Möglichkeiten, auch ohne die WebUI irgendwelche Dateien auf der SD-Karte wieder zu ändern, aber dazu muss man physikalischen Zugang zu der Kiste haben. Und soetwas passiert immer dann, wenn das gerade notwendig wäre, aber nicht geht!

Der Familienvater

Psi · Beitrag von **Psi** » 13.12.2018, 19:43

Wenn du wirklich etwas mehr Sicherheit willst schmeiße ich fail2ban in den Raum.
Das Ding schaut in den Logs nach Passwort-Fehlversuchen und sperrt die IP. Damit kann man zB BruteForce sehr viel schwieriger machen.

jp112sdl · Beitrag von **jp112sdl** » 13.12.2018, 20:28

Psi hat geschrieben: ↑
13.12.2018, 19:43
schmeiße ich fail2ban in den Raum.

Das schmiss bereits schon Jens

:

jmaus hat geschrieben: ↑
12.12.2018, 19:46
Verwende lieber Mechanismen wie fail2ban um angreifer frühzeitig auszusperren.

Psi · Beitrag von **Psi** » 13.12.2018, 20:32

doppel geschmissen erhöht die Treffchance

HomeMatic-Forum / FHZ-Forum

SSH mit key, und zwar nur mit key

SSH mit key, und zwar nur mit key

Re: SSH mit key, und zwar nur mit key

Re: SSH mit key, und zwar nur mit key

Re: SSH mit key, und zwar nur mit key

Re: SSH mit key, und zwar nur mit key

Re: SSH mit key, und zwar nur mit key

Re: SSH mit key, und zwar nur mit key

Re: SSH mit key, und zwar nur mit key

Re: SSH mit key, und zwar nur mit key