Port geändert für SSH, kein Zugriff mehr

[Magnus Wallwitz]

Hallo NG,

habe bei meinem alten Herrn den Port für SSH geändert,

in /etc/ssh/ssh_config und in /etc/ssh/sshd_config.

Ergebnis:

magnus@suse:~> ssh -p 4500 -X -v -v -v -l user xxx.dyndns.org
OpenSSH_4.4p1, OpenSSL 0.9.8d 28 Sep 2006
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to xxx.dyndns.org [84.182.188.14] port 4500.
debug1: connect to address 84.182.188.14 port 4500: Connection timed out
ssh: connect to host xxx.dyndns.org port 4500: Connection timed out

zusätzlich habe ich noch:
PermitRootLogin No
PasswordAuthentication yes
RhostsRSAAuthentication no
HostbasedAuthentication no
KerberosAuthentication no
RhostsAuthentication no
auskommentiert.

Router hat Portfreigabe auf 4500.
Vor der Änderung lief alles.

Wo ist der Fehler?

Und was sollte ich noch bezüglich der Absicherung von SSH bedenken?
Irgendwie gefällt mir nicht, dass User und User-Pass ausreicht, um sich via
SSH einzuloggen. Das User-Passwort ist ziemlich einfach, der gute Mann ist
schon etwas älter, es sollte auch einfach bleiben, daher würde ich gern SSH
extra absichern, entweder über ein anderes PW oder über Keyfiles und dann
komplett auf den Zugang über Keyfiles beschränken.
Beide Rechner Opensuse 10.2 mit KDE

Danke, Gruß und schönes Wochenende

MW

[Cyrus Kriticos]

Magnus Wallwitz wrote:

> [...]

>
> habe bei meinem alten Herrn den Port für SSH geändert,
>

> [...]
>
> Wo ist der Fehler?

Falsche Newsgroup?

--
Grüße | "Was bekommt man/frau, wenn man/frau Software kauft?
Cyrus | Nichts außer einem Haufen Nullen und Einsen."
| -- aus d. Lizenzvereinbarung von Spybot Search&Destroy

[Magnus Wallwitz]

Cyrus Kriticos wrote:

> Falsche Newsgroup?

SSH=Secure Shell, bin doch richtig hier, oder?

MW

[Cyrus Kriticos]

Magnus Wallwitz wrote:
> Cyrus Kriticos wrote:
>
>> Falsche Newsgroup?
>
> SSH=Secure Shell

Vermutlich.

> bin doch richtig hier, oder?

Secure Shell ist ein "neumodischer" Telnet-Ersatz aber keine Shell.

Hier versteht man unter "Shell" Dinge die bei Dir in der Datei
/etc/shells gelistet sind.

http://de.wikipedia.org/wiki/Unix-Shell

Ich würde mal bei de.comp.os.unix.linux.misc vorbeischauen/-posten.

[Markus Wichmann]

Magnus Wallwitz <maw...@aol.com> wrote:
> Hallo NG,
>
> habe bei meinem alten Herrn den Port für SSH geändert,
>
> in /etc/ssh/ssh_config und in /etc/ssh/sshd_config.
>
> Ergebnis:
>
> magnus@suse:~> ssh -p 4500 -X -v -v -v -l user xxx.dyndns.org
> OpenSSH_4.4p1, OpenSSL 0.9.8d 28 Sep 2006
> debug1: Reading configuration data /etc/ssh/ssh_config
> debug1: Applying options for *
> debug2: ssh_connect: needpriv 0
> debug1: Connecting to xxx.dyndns.org [84.182.188.14] port 4500.
> debug1: connect to address 84.182.188.14 port 4500: Connection timed out
> ssh: connect to host xxx.dyndns.org port 4500: Connection timed out
>

Also ist die Verbindung gescheitert. Erstmal rauskriegen, was bei dir
netcat ist, und zwar mit which (es gibt netcat und nc, aber es gibt auch
ein nc von nedit, was etwas anderes macht. Bei Debian ist es nc). Dann

nc -z -v $vadders_maschine 4500

Wenn der Port jetzt nicht offen ist: Guck mal, ob der sshd läuft. Wenn
nicht, hast du den inetd vergessen, umzukonfigurieren, oder der sshd
startet aus einem anderen Grund nicht (weil er normalerweise nicht über
inetd läuft)
Wenn der Port offen ist, hat der sshd deines Vaters irgendein Problem
mit deinem ssh.

> zusätzlich habe ich noch:
> PermitRootLogin No
> PasswordAuthentication yes
> RhostsRSAAuthentication no
> HostbasedAuthentication no
> KerberosAuthentication no
> RhostsAuthentication no
> auskommentiert.
>

lass mal das mit PasswordAuthentication aktiv, sonst darfst du dich gar
nicht per SSH authentifizieren

> Router hat Portfreigabe auf 4500.
> Vor der Änderung lief alles.
>
> Wo ist der Fehler?
>
> Und was sollte ich noch bezüglich der Absicherung von SSH bedenken?
> Irgendwie gefällt mir nicht, dass User und User-Pass ausreicht, um sich via
> SSH einzuloggen. Das User-Passwort ist ziemlich einfach, der gute Mann ist
> schon etwas älter, es sollte auch einfach bleiben, daher würde ich gern SSH
> extra absichern, entweder über ein anderes PW oder über Keyfiles und dann
> komplett auf den Zugang über Keyfiles beschränken.

Möglichkeit 1: Dem Useraccount deines Vaters den ssh-Zugriff verwehren,
ein anderes Konto mit einem komplexen Passwort eröffnen und sich dort
einloggen. Diesem Konto nix!! erlauben, außer ein su - vadder. Soweit,
so schlecht. Man braucht jetzt für ein Login bei deines Vaters Rechner
schon zwei Username-Passwort-Paare.

Möglichkeit 2: RSA-Login verwenden. Dann darf sich nur der Besitzer des
richtigen Schlüssels als dein Vater ausgeben (nötigenfalls den Schlüssel
auf USB-Stick mitführen). Also so hier:

PasswordAuthentication no
RhostsRSAAuthentication yes

Und bevor du fragst: <http://www.gidf.de> beantwortet _fast_ alle
Fragen.

> Beide Rechner Opensuse 10.2 mit KDE
>
> Danke, Gruß und schönes Wochenende
>
> MW

HTH,
Markus
--
Was haben eigentlich alle gegen Beamte? Die tun doch nichts!

[Juergen Ilse]

Hallo,

Magnus Wallwitz <maw...@aol.com> wrote:
> habe bei meinem alten Herrn den Port für SSH geändert,

Wozu soll das gut sein?

> in /etc/ssh/ssh_config und in /etc/ssh/sshd_config.
>
> Ergebnis:
>
> magnus@suse:~> ssh -p 4500 -X -v -v -v -l user xxx.dyndns.org
> OpenSSH_4.4p1, OpenSSL 0.9.8d 28 Sep 2006
> debug1: Reading configuration data /etc/ssh/ssh_config
> debug1: Applying options for *
> debug2: ssh_connect: needpriv 0
> debug1: Connecting to xxx.dyndns.org [84.182.188.14] port 4500.
> debug1: connect to address 84.182.188.14 port 4500: Connection timed out
> ssh: connect to host xxx.dyndns.org port 4500: Connection timed out
>
> zusätzlich habe ich noch:
> PermitRootLogin No
> PasswordAuthentication yes

PasswordAuthentication no

... und dann ein ssh Key-Pair anlegen, den private Key gut verwahren
und den Pubkic Key in die "authorized_keys" im .ssh Verzeichnis des
Users eintragen, als der man von aussen auf den Rechner moechte ...

> RhostsRSAAuthentication no
> HostbasedAuthentication no
> KerberosAuthentication no
> RhostsAuthentication no
> auskommentiert.
>
> Router hat Portfreigabe auf 4500.
> Vor der Änderung lief alles.

Dann stell es wieder zurueck.

> Wo ist der Fehler?

Vermutlich ein Konfigurationsproblem des Routers, aber fuer eine genaue
Analyse fehlen da einfach zu viele Angaben ...

> Und was sollte ich noch bezüglich der Absicherung von SSH bedenken?
> Irgendwie gefällt mir nicht, dass User und User-Pass ausreicht, um sich via
> SSH einzuloggen.

Dann stell PaswordAuthentication ab, und log dich nur noch per ssh-Key ein.

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

[Juergen Ilse]

Hallo,

Magnus Wallwitz <maw...@aol.com> wrote:
> Cyrus Kriticos wrote:
>> Falsche Newsgroup?

ACK.

> SSH=Secure Shell, bin doch richtig hier, oder?

Nein. Genau, wie hier der Oelkonzern shell nicht OnTopic ist, obwohl
er doch "shell" heisst, trifft das auch auf manche anderen Themen
(wie z.B. ssh) zu ...

[Martin Etteldorf]

Cyrus Kriticos <cyrus.k...@googlemail.com> wrote:

> Secure Shell ist ein "neumodischer" Telnet-Ersatz

Nein, sie ist ein rsh/rlogin-Ersatz. Der Einsatzzweck von
Telnet ist ein deutlich anderer.

> Hier versteht man unter "Shell" Dinge die bei Dir in der Datei
> /etc/shells gelistet sind.

$ ls /etc/shells
ls: /etc/shells: No such file or directory

Ist meine ksh jetzt offtopic?

> Ich würde mal bei de.comp.os.unix.linux.misc vorbeischauen/-posten.

Denkst Du nicht, eine *networking-Gruppe sei angebrachter?

Martin
--
"For the Snark's a peculiar creature, that won't
Be caught in a commonplace way.
Do all that you know, and try all that you don't;
Not a chance must be wasted to-day!"