Re: SSH-Security-Check a la ssllabs.com/ssltest

Forside
Vedhæftede filer:
Indlæg som e-mail
+ (text/plain)
Slet denne besked
Besvar denne besked
Skribent: Martin Steigerwald
Dato:  
Til: list
Emne: Re: SSH-Security-Check a la ssllabs.com/ssltest
Sven Velt - 17.12.19, 22:59:14 CET:
> Martin Steigerwald wrote:
> > [...]
> > Macht das etwas anderes als ssh-audit, paketiert unter dem gleichen
> > Namen in Debian? Das ist übrigens Python :)
>
> Wald, Bäume. Danke! Genau sowas hab ich gesucht!


Na bitte. Geht doch :)

> > > Wer, auf der anderen Seite, Tipps zum weiteren Absichern für's SSH
> > > (Server und Client) braucht:
> > >
> > > - https://stribika.github.io/2015/01/04/secure-secure-shell.html
> > > -
> > > https://github.com/stribika/stribika.github.io/wiki/Secure-Secure
> > > -> Shell - und natürlich https://blog.fefe.de/?ts=aa52d8da :D
> >
> > In dem FEFE Blog Link finde ich beim Drüberfliegen nur Blabla über
> > andere Themen.
>
> Sicher, dass Du den Link GANZ kopiert hast?! Kurzfassung: Er traut nur
> DJB und Ed25519 und schmeißt für seine Server alles andere raus.


Nö, hab ich wohl voll nicht. Beim 2. Versuch klappte das.

RSA verwende ich auf der Arbeit immer noch, wäre aber auch da mal an der
Zeit, einen Ed25519-Schlüssel zu erstellen. Für RSA verwende ich Client-
Schlüssel mit mindestens 4096 Bit.

So oder so entferne ich ECDSA auch als Host-Schlüssel komplett. Da gibt
es das Gerücht, dass die NSA auf die NIST eingereicht hat, damit die den
Standard abschwächen, angeblich, weil es sonst zu viel Rechenzeit
brauchen würde.

> > [[ compact ]]
> > https://bettercrypto.org/
> > https://ssl-config.mozilla.org/
> > https://observatory.mozilla.org
>
> https://cipherli.st/ gibt's auch noch ;)


Nice.

Für das Mozilla TLS Zeug gibt es übrigens irgendwo auch eine Begründung,
warum die das so empfehlen. Bei Applied Crypto Hardening grundsätzlich
auch.

>
> > [...]
> > Achja, und SSHGuard oder Fail2Ban, wobei Fail2Ban wohl deutlich
> > flexibler ist. Ich hab noch SSHGuard am Start, funktioniert aber,
> > obwohl es sollte, mit Dovecot nicht – wo ich laut Protokoll immer
> > wieder Leute oder Skripte habe, die es versuchen. Und Apache mit
> > mod-evasive.


> Mit mod_evasive hast Du mir damals den Monitoring-Server kaputt
> gemacht! Geh weg damit :D Nein, ganz klar, wenn das richtig(!)
> konfiguriert ist und die Web-Seite/Web-App es zulässt, dann ist das
> durchaus 'ne Möglichkeit. Es blind zu verwenden ist aber sinnfrei.
> Genauso wie mod_security und ein Wiki, in dem man SQL erklären will
> *g*


Ich hab bei mod_evasive bisher nur wenig drauf herum gebastelt. Ich
dachte mal, das sei für Fehler in einem Wordpress verantwortlich, dass
ich übernommen war, lernte dann aber, das zumindest Wordpress 5.0 nicht
mit Content Security Policy-Kopfzeilen klar kommt.

> ---------- snip ----------
>
> Addendum zu meinem Sermon von eben:
> > Laut ssh-audit auf Deine Domain velt.de mit mir bekannten Port
> > besteht da durchaus Verbesserungspotential. Sowohl in Bezug auf die
> > Kryptographie als auch in Bezug auf die verwendete Debian-Version :)
>
> Schuster, Schuhe :-/
>
> Eigentlich sollte die Kiste schon 'n Jahr nicht mehr existieren, die
> neue Kiste ist auch schon halb eingerichtet. Aber eben nur halb. Aber
> wenn wir schon dabei sind, Dein (zumindest damals) verwendeter Port
> ist inzwischen auch in diversen SSH-Scannern drin -- hat mir ein
> Freund gesagt *pfeiff*


Och ja. Kann nicht sagen, dass mich das sonderlich beunruhigt.

Aber ja, ich sehe da im Protokoll mittlerweile ein paar, die es auf
diesem Port versuchen. Könnte ich natürlich noch mal wieder ändern, aber
dann landet es irgendwann wieder auf einem SSH Scanner. Denke nicht,
dass das Katz- und Maus-Spiel sonderlich viel bringt. Dachte mir aber
auch, einfach den uns bekannten Port übernehmen, das muss ich auch
nicht.

> Bye & THX für Deinen Beitrag!


Gerne geschehen.

Wäre ja mal was für das LUSC-Wiki oder so, wenigstens als Link-Sammlung.

Andererseits kann mein Mail-Client auch suchen :). Und das meiste davon
habe ich ohnehin mittlerweile in meinen Schulungsunterlagen.

-- 
Martin



--
Mailing-Liste der Linux User Schwabach (LUSC) e.V.
Vor und beim Posten bitte
?http://lusc.de/List-Netiquette < und
?http://lusc.de/List-Howto < beachten. Danke!