Aktuelle Zeit: Sa 25. Mai 2019, 09:57



Ein neues Thema erstellen Auf das Thema antworten  [ 1 Beitrag ] 
 SSH Zugang aus dem Internet absichern am Beispiel der LS 400er Serie 
Autor Nachricht
Globaler Moderator

Registriert: Mo 5. Apr 2010, 23:32
Beiträge: 6588
Bilder: 401

Bedankte sich: 174 mal
Erhielt: 858 Danksagungen in 795 Beiträgen

Bedanke dich für den Beitrag 
Beitrag SSH Zugang aus dem Internet absichern am Beispiel der LS 400er Serie
Da mein NAS noch Zusatzaufgaben erledigen muss, ist es sehr angenehm, es auch aus der Ferne per SSH steuern zu können.
Natürlich versuchen Hacker sofort, auf diese offene Schnittstelle zuzugreifen.

Das belastet das System aber nur sehr gering, so lange es nicht tausende Angreifer sind.

Vermerkt werden die Versuche in der /var/log/messages
Code:
Dec 18 09:28:54 LS421DE auth.info sshd[16930]: Failed password for root from 103.41.124.35 port 39128 ssh2
Dec 18 09:28:54 LS421DE auth.info sshd[16930]: Failed password for root from 103.41.124.35 port 39128 ssh2
Dec 18 09:28:55 LS421DE auth.info sshd[16930]: Failed password for root from 103.41.124.35 port 39128 ssh2


Lösungen um den Server sicherer zu machen:

1) den Port 22 nicht am Router Port 22 freigeben
      - Es wird ein hoher ungewöhnlicher Port empfohlen z.B. 43256
          Diesen Port muss man sich jedoch merken können. Also Geburtstage würden auch gehen 2304
          Ports sind Möglich im Bereich von 1 bis 65535

          Wer mit Skripten auf seinen Server zugreift übergibt den neuen Port an den ssh
          Code:
          ssh -p port_number user@servername



2) neue Nutzer anlegen, welche sich die Administratorrechte verschaffen dürfen

      Später wollen wir dem Administrator (root) den Zugang per ssh verbieten

      Voraussetzung Optware ist installiert nach:
      http://forum.nas-hilfe.de/buffalo-technology-nas-anleitungen/ssh-freischalten-auf-einer-ls421de-t2165.html

      neuen Nutzer anlegen:
      Code:
      adduser Poweruser


      sudo installieren:
      Code:
      ipkg install sudo


      Nutzer hinzufügen, die den Befehl sudo ausführen dürfen:
      Code:
      echo "Poweruser ALL=(ALL) ALL">>/opt/etc/sudoers


      Später wollen wir mit dem Befehl sudo su - dem Poweruser zum root machen. Dazu muss auch der Befehl su vom Poweruser ausfühbar sein. Hierzu muss er der Gruppe wheel angehören.

      Den Poweruser in die Gruppe wheel eintragen
      Code:
      usermod -a -G wheel Poweruser


      Um eine Fehlermeldung
      Zitat:
      su: Module is unknown

      zu umgehen, müssen wir noch zwei Module abschalten.

      Code:
      sed -i 's/session.*required.*pam_selinux.so close/#session         required        pam_selinux.so close/g' /etc/pam.d/su

      sed -i 's/session.*required.*pam_selinux.so open multiple/#session         required        pam_selinux.so open multiple/g' /etc/pam.d/su




3) den root aussperren

      Konfiguration anpassen:
      Code:
      sed -i 's/.*LoginGraceTime.*/LoginGraceTime 30/g' /etc/sshd_config

      sed -i 's/.*PermitRootLogin.*/PermitRootLogin no/g' /etc/sshd_config

      echo "AllowGroups wheel" >>/etc/sshd_config


      Den Dienst neu starten:
      Code:
      /etc/init.d/sshd.sh restart




4) Test
      Die aktuelle Sitzung wird nun beendet.
      Versucht man sich nun als root anzumelden wird man abgelehnt mit
      Zitat:
      Access denied


      Also meldet man sich als Nutzer an

      Code:
      login as: Poweruser
      Poweruser@192.168.178.24's password:
      [Poweruser@LS421DE ~]$


      Nun wechset man zum root

      Code:
      [Poweruser@LS421DE ~]$ sudo su -
      Password:
      Last login: Thu Dec 18 11:30:36 CET 2014 on pts/1
      [root@LS421DE ~]#



Do 18. Dez 2014, 11:34
Profil Persönliches Album 
Die folgenden User haben sich bei oxygen8 für diesen Beitrag bedankt:
crypted, Jan, NobodysPlac3
Dieser Werbeblock wird nur bei Gästen angezeigt
Beiträge der letzten Zeit anzeigen:  Sortiere nach  

Ein neues Thema erstellen Auf das Thema antworten  [ 1 Beitrag ] 





Suche nach:

Ähnliche Beiträge

SSH Zugang aus dem Internet absichern am Beispiel der LS Kirkwood- Serie
Forum: Buffalo Technology NAS - Anleitungen
Autor: oxygen8
Antworten: 0
Lüfterregelung für die 400er Serie
Forum: Buffalo Technology NAS - Anleitungen
Autor: oxygen8
Antworten: 0
rotes Blinken E07 bei der 400er Serie
Forum: Buffalo Technology NAS - Anleitungen
Autor: llothar1972
Antworten: 1
XFS defragmentieren auf einer Linkstation 400er Serie
Forum: Buffalo Technology NAS - Anleitungen
Autor: MrYoshii
Antworten: 0
Transmission auf einer Linkstation 400er und 200er Serie ohne Optware
Forum: Buffalo Technology NAS - Anleitungen
Autor: oxygen8
Antworten: 0

Wer ist online?

Mitglieder in diesem Forum: Exabot [Bot], Google Adsense [Bot] und 29 Gäste


Deine Berechtigungen

 Du darfst keine neuen Themen in diesem Forum erstellen.
 Du darfst keine Antworten zu Themen in diesem Forum erstellen.
 Du darfst deine Beiträge in diesem Forum nicht ändern.
 Du darfst deine Beiträge in diesem Forum nicht löschen.
 Du darfst keine Dateianhänge in diesem Forum erstellen.

Gehe zu:  


| NAS-Hilfe.de - die deutsche Buffalo NAS-Hilfe Seite | Mein Blog - Bloggen Querbeet... | Powered by phpBB © phpBB Group. | Deutsche Übersetzung durch phpBB.de | Impressum |