September 2012 Archive

Vor einiger Zeit gab es hier im Undertec-Blog eine Aufstellung zu Möglichkeiten, wie man SSH/SFTP-Zugänge im CHROOT-Gefängnis einsperren kann (siehe dazu http://www.undertec.de/blog/2008/05/sshsftp-im-chrootgefangnis-ein.html).

Heute kommt dazu eine Schritt-für-Schritt-Anleitung wie man mit der eingebauten ChrootDirectory-Option in OpenSSH direkt ein CHROOT-Gefängnis kreieren kann und wie man dies ausnutzen kann um einen sicheren SFTP-Server aufzusetzen, so dass der Benutzer aus dieser Ordnerstruktur nicht ausbrechen kann.

Zuerst müssen wir eine neue Gruppe und einen oder mehrere neue Benutzer anlegen, welche nachher Zugang zu unserem SFTP-Server bekommen sollen. Wie wir später sehen werden, wird diese Gruppe später direkt in den SSH-Servereinstellungen verwendet.

addgroup sftpzugang
useradd -s /bin/false -G sftpzugang sftpbenutzer
passwd sftpbenutzer

Wir legen mit den ersten beiden Befehlen also die Gruppe "sftpzugang" und den Benutzer "sftpbenutzer" in der Gruppe "sftpzugang" an. Mit "-s /bin/false" wird angegeben, dass der Benutzer keine Login-Shell zur Verfügung gestellt bekommt. Mit dem dritten Befehl passwd vergeben wir ein Passwort an den neu geschaffenen Benutzer.

Als nächstes ändern wir die Konfiguration unseres SSH-Servers. In "/etc/ssh/sshd_config" wird nun folgendes geändert:

Zuerst kommentieren wir folgende Zeile mit # aus:

#Subsystem sftp /usr/lib/openssh/sftp-server

Dann fügen wir am Ende der "sshd_config" folgende Zeilen ein:

Subsystem sftp internal-sftp
 
Match Group sftpzugang
        ChrootDirectory /home/SFTP-WURZELVERZEICHNIS
        ForceCommand internal-sftp
        AllowTcpForwarding no

Mit diesen Befehlen sorgen wir dafür, dass der SSH-Server bei einer SFTP-Authentifizierung automatisch auf den internen SFTP-Server umschaltet und dass jeder Benutzer der Gruppe "sftpzugang" in das Verzeichnis "/home/SFTP-WURZELVERZEICHNIS" eingesperrt wird. Gleichzeitig verbieten wir TCP-Forwarding.

Im Prinzip können wir nun den SSH-Server neu starten, sobald wir das "SFTP-WURZELVERZEICHNIS" angelegt haben. Dieses Verzeichnis muss allerdings über spezielle Nutzerrechte verfügen, welche man noch vergeben muss (wie das geht und weitere Infos dazu findet man bei http://madapez.com/it/linux/howto-chroot-sftp-zugang-openssh-ohne-shell-ssh/).

Unter Debian geht das Neustarten des SSH-Servers wie folgt:

/etc/init.d/ssh restart

Wer seinen SSH-Server nun jetzt noch etwas sicherer machen möchte, der sollte zurück in die "sshd_config" gehen. Dort kann man entweder neben Port 22 einen weitere Port eintragen oder einen anderen Port wählen.
Da viele Angreifer wissen, dass Port 22 der SSH-Port ist, ist es ratsam einen Port zu wählen, der weit außerhalb der üblichen Portscanner-Bereiche liegt.

Deshalb kommentieren wir Port 22 aus und wählen einen neuen Port. Das ganze sieht dann wie folgt aus:

# Port 22
Port 54321

Dieser Port wird im Normalfall nicht von Portscannern standardmäßig geprüft.

Als nächste können wir noch verhindern, dass "root" sich von nicht berechtigten Rechnern anmeldet:

AllowUsers BENUTZER root@192.168.1.*

Mit dieser Anweisung kann sich der "BENUTZER" von jedem Rechner mit jeder IP-Adresse aus anmelden. Der "root"-Benutzer kann sich hingegen nur noch mit IP-Adressen aus dem 192.168.1.*-Netz anmelden. Dies schafft zusätzliche Sicherheit, da root sich zwar anmelden darf, aber nicht von überall.

Natürlich muss jetzt erneut der SSH-Server gestartet werden.

Weitere Informationen zu dieser Anleitung und großteile dieser Anleitung findet sich bei:
http://madapez.com/it/linux/howto-chroot-sftp-zugang-openssh-ohne-shell-ssh/

Hier noch ein Artikel zu Wikipedia, der generell erklärt, was CHROOT ist:
http://de.wikipedia.org/wiki/Chroot

Wie man mit ALLOW und DENY den SSH-Server sicherer machen kann, findet sich hier:
http://blog.christianjaeckle.de/2008/01/ssh-mit-allowusers-und-allowgroups-einschraenken/
http://www.cyberciti.biz/tips/openssh-deny-or-restrict-access-to-users-and-groups.html
http://ubuntuforums.org/showthread.php?t=1416730

Wie man den SSH-Server an mehreren Ports betreibt, findet sich hier:
http://www.latenightpc.com/blog/archives/2006/10/11/running-an-ssh-server-on-multiple-ports

Eine andere Möglichkeit eine chroot-Umgebung herzustellen findet sich hier:
http://slackworld.berlios.de/2007/chroot_howto.html

Wie man * Wildcards in SSH benutzt findet sich hier:
http://www.cmdln.org/2008/12/17/ssh-config-wildcards/

Wie Subsysteme in SSH funktionieren findet sich hier:
http://docstore.mik.ua/orelly/networking_2ndEd/ssh/ch05_07.htm

Wer ein unliebsames Antwortschreiben (z.B die GEZ (Gebühreneinzugszentrale)) in einem beigefügten Antwortumschlag zurückschicken muss, der muss nicht zwangsläufig eine Briefmarke drauf kleben. Die Deutsche Post bietet nämlich einen Service namens "Werbeantwort" an. Dort heißt es im Wortlaut:

Durch die Kennzeichnung mit dem Schriftzug „Deutsche Post "WERBEANTWORT" oder „Deutsche Post "ANTWORT" (inkl. Posthorn), den Frankiervermerk und einegedruckte Anschrift wird Ihr Response-Element zur WERBEANTWORT.

Und weiter heißt es:

Variante B:

Sie möchten Ihre Kunden an den Kosten beteiligen. - Textvorgabe: "Bitte ausreichend frankieren" oder "Bitte frankieren, falls Marke zur Hand" (oder ähnliche Formulierung). In diesem Fall kann es zu verschiedenen Kostenvarianten kommen:

a. Frankiert der Kunde ausreichend (0,45 EUR), wird dies als normale Sendung behandelt, so dass Sie kein Porto zahlen.

b. Frankiert der Kunde z. B. mit 0,10 EUR statt 0,45 EUR, zahlen Sie die Differenz zum Basisporto (0,35 EUR) je Sendung.

c. Frankiert der Kunde gar nicht, müssen Sie das Basisporto (0,45 EUR) pro Sendung übernehmen.

Das heißt im Klartext also, dass man eine Briefmarke auf ein Schreiben mit "Deutsche Post Antwort (mit Posthörnchen)" und "Bitte frankieren" nur drauf kleben sollte, wenn man dem Absender wirklich etwas gutes tun sollte.

Hier der Link zu den Informationen der Post:
http://www.deutschepost.de/werbeantwort
http://www.deutschepost.de/dpag?tab=1&skin=hi&check=yes&lang=de_DE&xmlFile=link1015554_1023246
http://www.deutschepost.de//mlm.nf/dpag/images/w/werbeantwort/broschuere_werbeantwort_und_responseplus_201101.pdf

Damit ist die Frage die in vielen Onlineforen auftaucht, ob man die GEZ mit einer Briefmarke unterstützen soll geklärt:
http://www.gutefrage.net/frage/antwortschreiben-an-gez-mit-briefmarke-versehen
http://forum.ksgemeinde.de/archive/index.php/t-84304.html
http://www.cosmiq.de/qa/show/1463511/Brief-ohne-Briefmarke/
http://de.answers.yahoo.com/question/index?qid=20081102040449AANbUgM

Wer arbeitsloser Programmierer ist oder nach neuen Herausforderungen sucht und ins Sicherheits- und Geheimdienstgewerbe einsteigen möchte, für den ist jetzt eine Stelle beim Bundeskriminalamt frei geworden. Laut Heise sucht das BKA nämlich nach jemand, der den Bundestrojaner programmieren kann. Also auf geht's! Bewerbungen einschicken! :)

Hier der Link zur Heise-News:
http://www.heise.de/newsticker/meldung/BKA-sucht-Trojaner-Entwickler-1697769.html

Über dieses Archiv

Diese Seite enthält alle Einträge von Undertec Blog von neu nach alt.

August 2012 ist das vorherige Archiv.

Oktober 2012 ist das nächste Archiv.

Aktuelle Einträge finden Sie auf der Startseite, alle Einträge in den Archiven.

Juli 2013

So Mo Di Mi Do Fr Sa
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      
Etter EDV- und IT-Dienstleistungen
Powered by Movable Type 5.04

Google Werbung:

Google Werbung: