Follow

Admins. Please forget about changing your SSH port. It's just annoying to have non-standard SSH ports, and it does not really help protect your system.

This is so-called "security by obscurity", which should be abandoned.

Better keep the standard port and configure SSH key login only / disable password authentication.

This is the serious sh*t you should do. Not change your SSH port and log into your root account via a weak user password and another weak su password.

@thomas
Changing port is still valid if you don't want to fill up logs...

@meka @ivan

or not log failed attempts at att, because you don't care if someone is trying to guess your >=4096 Bit key ;-)

@thomas
Valid solutions, but changing port is not necessarily security through obscurity
@meka

@ivan what do you use it for? Multiple ssh daemons? @thomas

@meka
One of the reasons can be. Or poor mans forwarding.

I usually leave default port 22 but don't have anyhing against changing the port. But other security mrasures still need to be in place.

That being said, on cpanel servers when you have lfd from csf installed it can become pretty nasty with huge block lists. Luckily I haven't touched cpanel servers in a while...
@thomas

@thomas @ivan @meka why would an admin not care if someone is trying to guess the key?

@Statismiscancer

it is not possible in a practical period of time + happening all the time. Like internet background noise.

@ivan @meka

@thomas @meka @ivan the point is if someone is attempting to access a server on the network it's a good idea to know the source IP address.

@thomas And please use good client and server certificates, good ciphers, maybe fail2ban, rekey and maybe you also want to use special limitations in your authorized_keys.

@thomas It does help you when the next vulnerability is found.

@thomas ach naja. wenn man den Port ändert, ist man zumindest von 99,99% der automatischen angriffe geschützt. wenn jemand aber wirklich rein will, findet er auch so den ssh port raus. ich hab ein ssh zert für root und pw deaktiviert. das zert ist nur im Keepass und Putty holt es sich da raus. läuft super^^

@Hughenknubbel @thomas Kann Keepass Zertifikate explizit speichern, oder kopierst du einfach den Zertifikatsblablatext in ein Passwortfeld?

@Nuntius
Gibt eine Erweiterung für Keepass. Heißt glaub keeagent und schafft eine Schnittstelle zwischen Putty und Keepass. Im Keepass lege ich dann das cert fest welches auf Anfrage dann zu Putty übertragen wird. Wollte eine vollautomatische Lösung haben und die funktioniert super.
@thomas

@Hughenknubbel Ah, danke! Vielleicht richte ich mir dass unter Linux auch mal ein, ein extra Sicherheitslayer kann ja nie schaden

@Nuntius
Musst halt mal schauen ob es für Linux auch software gibt die das unterstützt. Nutze Linux als Workstation jetzt nicht. Empfand alles was mit GUI zutun hat dort immer sehr instabil.

@nuron
Weil sie wahr ist. Ich habe keine Zeit und nicht genug know how mehr um mich Stunden hinzusetzen und fix nen neuen Treiber zu schreiben, irgendwelche kernel Module zu entladen, und was auch immer zu machen und am Ende stürzt das GUI trotzdem 4x am Tag ab. Außerdem habe ich 2 arbeitslaptops auf denen Windows installiert ist. Und auf meinen Desktop kommt mir auch nix anderes. Meine Server laufen alle mit Linux.

@Hughenknubbel hmmm musste noch nie n Treiber schreiben oder am Kernel rum schrauben 🤔 aber habe auch kein Arch o.ä. benutzt muss ich zugeben

@nuron
War bei mir immer Ubuntu oder Debian. Ich habe meine Erfahrungen mit Linux als Workstation und die sind nicht sehr positiv.

@Hughenknubbel das ist schade... Nutze seit drei Jahren Ubuntu, dann Mint und aktuell Debian. Alles recht stabil und solide aufm Desktop 🤔

@nuron
Ich müsste einfach auf zu viel verzichten. Und ich mag es wenn es "einfach läuft".
Und das tut windows halt einfach ^^

@Hughenknubbel ist ja deine Sache ;) wäre keine Option für mich.

@Hughenknubbel @nuron windows läuft einfach? wenn man nix damit macht vielleicht. ich muss jeden tag aufs neue fluchen wegen irgendwelchen dingen, die eben nicht einfach laufen. Als Entwickler ist Windows echt ne Qual

@Strubbl
Als Entwickler ist man doch schon per Definition Sklave von Software problemen?
@nuron

@Hughenknubbel @nuron Ja natürlich. Aber eben nicht die von dem Betriebssystem

@Strubbl
Ich mache einiges am PC. Meine letzten Probleme die mich haben verzweifeln lassen waren Defekte HDDs. Das ist jetzt ein Jahr her. Und davor wüsste ich nicht wann ich mal wirkliche Probleme hatte.
@nuron

@thomas Agreed. Hiding services is an excuse to be otherwise lax with security, imho.

🇬🇧 @thomas For me, blocking port 22 is blocking some unwanted traffic, unwanted computation charge. Fail2Ban is happier. Using an alternate ssh port wasn't meant for security.

On the other hand, even when I had port 22 open, I also opened another port > 1024 for SSH, known to me, on one of my servers, to let me in when the connection I have blocks some ports like 22 for any obscure reason.

@thomas I am not 100% in line with this. I have had servers being hammered with login attempts so that CPU utilization went up to 100% and the system was unusable. Thus, on public IPs I still always change ports despite only allowing key login. Not as a security feature, but simply for load reduction.

@thomas Completely agreed, even when the more common reason to change the port is, that your logs contain less failed attempts.

But there are also solutions.

1. Use banlists like github.com/virus2500/blocklist

2. Use geoip based bans axllent.org/docs/view/ssh-geoi

3. Use port-knocking portknocking.org/

4. Restrict ssh port access to your well-known IP ranges cyberciti.biz/tips/linux-iptab

#linux #servers #SSH

@sheogorath @thomas port knocking is even worse. It is not only security by obscurity, many implementations also had/have security issues themselves.

@rugk @thomas

Port knocking can be done by iptables.[1] No need for other applications.

Also as we mentioned before, it's not to secure SSH but to reduce the logs for failed connection attempts by scriptkiddies, bots and other scanners.

[1]: digitalocean.com/community/tut

@thomas There is one scenario where this doe work: If I attach a new machine to university network, which means public IP and no firewall between you and the net, it usually has rather high load for the first few hours because there are between 10 and 25MBit/s of failed ssh-logins, because even with public key auth they'll just keep trying passwords.
Fail2ban does not really help, to many ip addresses.
A firewall would help, but usually I want to access these machines from the internet.

@thomas Also great anti-pattern: fail2ban. Aaargh! Just enable key based auth already! srsly... what’s wrong with those people!

@thomas there are people who do it purely to stop logspam from automated crawlers
Sign in to participate in the conversation
\m/ Metalhead.club \m/

Metalhead.club is a Mastodon instance hosted in Germany and powered by 100% green energy. Mastodon is a free and decentralized alternative to well-established social microblogging platforms like Twitter. This instance is especially addressing Metal fans, but of course everybody is welcome to use metalhead.club. If you're using this Mastodon instance, please consider a single donation or monthly, recurring donations via LiberaPay to keep this instance metalling hard.
Either via LiberaPay: Donate via LiberaPay ... or other means: https://thomas-leister.de/en/donate/