Die Tool-Sammlung OpenSSH, entwickelt vom OpenBSD-Projekt, umfasst eine Reihe beliebter Programme für vielfältige Anwendungszwecke. Mit wenig Aufwand können „Brute-Force-Attacken“ auf ein reines Ärgernis reduziert werden, das höchstens etwas Platz in den Logdateien verschwendet. Für den Anfang reicht es schon aus, ausdrücklich festzulegen, wer anmeldeberechtigt ist. Damit dürften schon 99 Prozent solcher arglistiger Angriffe ins Leere laufen, egal wie sicher das System wirklich ist.
Grundsätzlich sollte es niemals erlaubt sein, dass sich der Root-Benutzer per ssh (secure shell) einloggt – es sei denn, dass es absolut notwendig ist. In einem solchen Fall müssen dann immer ssh-Schlüssel verwendet werden. Niemals sollte sich der Root-Benutzer mit einem Passwort einloggen dürfen. Hierzu fügt man der Datei /etc/ssh/sshd_config, auf einigen Systemen verkürzt zu /etc/sshd_config, folgende Zeile hinzu:
PermitRootLogin without-password
Auf diese Weise bleiben Root-Log-ins erlaubt, jedoch nur mit einem ssh-Schlüssel. Dessen öffentliches Gegenstück muss in /root/.ssh/authorised_keys angegeben sein.
Als nächstes sollte ausdrücklich festgelegt werden, welche Benutzer anmeldeberechtigt sind. Hierzu fügt man der Datei sshd_config die folgenden Zeilen hinzu:
AllowUsers root AllowUsers joe
Damit dürfen sich nur die Benutzer „root“ und „joe“ per ssh einloggen. Es gilt zu beachten, dass sich nach Aktivierung der Option AllowUsers nur noch jene Benutzer einloggen können, die hier ausdrücklich aufgeführt sind. Mit anderen Worten: Trotz der Einstellung PermitRootLogin kann sich der Root-Benutzer sogar mit dem korrekten Schlüssel nur dann einloggen, wenn neben AllowUsers joe auch AllowUsers root in die Konfiguration aufgenommen wurde! Man sollte diese Liste also regelmäßig im Auge behalten und sicherstellen, dass Benutzer, die keinen Zugriff auf das System mehr benötigen, daraus entfernt werden.
Page: 1 2
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…