SSH-Port 22 ein Sicherheitsrisiko?

[Mo3Jo3]

Hallo,
In DSM bekomme ich im Moment eine Sicherheitswarnung, weil ich den Standard SSH port verwende. Sollte man diesen ändern? Ich dachte dieser Port wird allgemein dafür verwendet? Ich benutze manchmal Tools wie Putty für sowas.

Thx für eure Hilfe

 

[flxmmr]

Hast du den nach außen weitergeleitet? Im LAN hätte ich da ja ein größeres Problem, wenn irgendein Gerät infiziert wäre, wo der Angreifer dann den SSH-Server meines NAS findet, ist da auch nicht mehr so das Riesenproblem, v.a. da deine Geräte 1000 andere Services anbieten, die vmtl. ein erheblich größeres Risiko darstellen.

Sonst: SSH ist halt weitverbreitet und man kann auf Port 22 halt damit rechnen, dass ab und zu jemand gegen die Tür klopft. Den kann man dann mit fail2ban blocken. Will man weniger Arbeit für fail2ban, kann man den Port umziehen, die wenigsten Scanner werden jeden Port abklopfen, die Verwundbarkeit bleibt bestehen und ich hoffe du hast auch keine anderen Server laufen (denn auch hier gilt: wenn SSH eine große Lücke hat, werden ganz andere Orgas ein Problem haben, da würde ich mir um meinen VPS keine so riesigen Sorgen machen).

 

[DjGrave]

Intern habe ich den Port 22 gelassen, die Fritzbox leitet von außen Port xyxy an Port 22 intern weiter ....

 

[sweetchuck]

Hallo,
In DSM bekomme ich im Moment eine Sicherheitswarnung, weil ich den Standard SSH port verwende. Sollte man diesen ändern? Ich dachte dieser Port wird allgemein dafür verwendet? Ich benutze manchmal Tools wie Putty für sowas.

Thx für eure Hilfe

Erstmal ist der Port okay, man kann mit einem Wechsel des Ports aber einen Großteil der Angreifer ablenken. Sicherer ist das zwar nicht, verringert aber die Last auf dem System. Mehr Sicherheit kriegst du nicht mit solchen Verschleierungsmaßnahmen, sondern eher mit der Deaktivierung des passwortbasierten Zugangs (-> SSH-Key), nem vorgeschalteten VPN, regelmäßigen Updates, usw.

 

[flxmmr]

-> SSH-Key

(das hatte ich jetzt mal vorausgesetzt)

 

[besterino]

Obscurity=|=Security. Würde mir da ehrlich gesagt keinen großen Kopf machen. Entweder dein SSH-Server (also der Dienst) ist halbwegs sicher, oder nicht.

Ein Tool, was Eingang in Dein LAN gefunden hat, wird über die Zeit im zweifel ALLE Ports auf allen erreichbaren Geräten scannen. Und nach außen ist der 22er schon „verschleiert“ wer den jetzt findet, findet den dann genauso.

 

[martingo]

Im großen und ganzen würde ich flxmmrs Beitrag unterstreichen.
Solange du mit pubkey oder sicheren Passwörtern arbeitest, spielt es eigentlich keine Rolle wieviele hunderttausend mal es jemand versucht.
Praktisch verringerst du das theoretisch bestehende Risiko auf einen Zufallsfund deutlich, indem Du die Anzahl der Attacken senkst. Dies erreichst du auch heute noch über einen non-common-port wie 22, 22022,222,2222, 2022 usw.
Oder eben über das empfehlenswerte vorgeschaltete vpn.

 

[Olaf16]

(das hatte ich jetzt mal vorausgesetzt)

Ich persönlich sehe da nicht sooo den Schmerz.
Was ich aber bei nicht SSH-Key mache/empfehle:
- von außen nicht über P22 erreichbar (falls für Inet freigegeben ist)
- Berechtigung von SSH bei root entfernen (nen rechteloser 0815 User darf sich anmelden und muss dann mit root rechten arbeiten)
- Anmeldeuser nicht mit so Standardnamen wie admin, Administrator usw benennen
- sicheres Passwort und anders als bei root natürlich
- nach 3 versuchen 1-2h Ban, bei mehreren Versuchen IP Adresse noch länger/komplett bannen

Sollte dann sicher(er) sein. Natürlich immer up-to-date

 

[Mo3Jo3]

Danke für die Antworten. War so verwundert, weil DSM das als „hohes“ Sicherheitsrisiko eingestuft hat. Der Port ist nicht von außen erreichbar. Generell gibt s bei mir einen 30Min Ban, bei drei falschen Passwörtern. Wenn jemand mit einem nicht vorhandenen Benutzernamen versucht sich anzumelden, gibts beim dritten Versuch direkt einen permanenten Ban, immer zusammen mit ner Warnmail.