27.09.2008, 08:48 Uhr
Sicherheit - SSH-Login
Hacker reagieren vor allem auf einen offenen SSH-Port. In den meisten Fällen ist ein SSH-Login auf dem Webserver als Nutzer root möglich, weil viele Administratoren aus Bequemlichkeit diese Funktion nicht abschalten.
Hacker reagieren vor allem auf einen offenen SSH-Port. In den meisten Fällen ist ein SSH-Login auf dem Webserver als Nutzer root möglich, weil viele Administratoren aus Bequemlichkeit diese Funktion nicht abschalten.
Es wird dann ein Programm eingesetzt, das versucht, sich als root ins System einzuloggen. Da im Gegensatz zum Login das Passwort nicht bekannt ist, wird zunächst eine Bruteforce-Attacke genutzt. Dabei kommen die Passwörter aus in Hacker-Kreisen kursierenden Datenbanken, oder eine spezielle Software generiert Wörter, die aus den Buchstaben a – z, A – Z und den Zahlen 0 – 9 bestehen. Ist ein Login erfolgreich, ändern die meisten Bruteforce-Programme umgehend das Passwort und machen das System damit für den Systemadministrator unzugänglich.
Eine Bruteforce-Attacke dauert je nach Internet-Verbindung und benutztem System nur wenige Stunden. Benutzt man ein Sonderzeichen, erhöht sich der Zeitaufwand erheblich. Knackbar sind aber auch diese. Um es dem Angreifer schwerer zu machen, sollte ein Login als root per SSH generell verboten werden. Damit müsste ein potenzieller Angreifer zunächst den User-Namen erraten und obendrein das zugehörige Passwort.
Zu bedenken ist: User-Namen lassen sich immer dann schnell knacken, wenn auf dem System ein Mail-Server läuft. Denn in den meisten Fällen werden Mail- User mit einer gültigen Shell ins System eingetragen – damit wäre auch ein Login via SSH möglich. Ergo: Reine Mail-User sollten keine gültige Shell erhalten, sondern eine Dummy-Shell wie beispielsweise /bin/false.
Für den Shell-Zugriff via SSH muss ein Extra-User angelegt werden, dessen User- Name auch Zahlen und Sonderzeichen enthalten darf. Es gibt noch einen Weg, SSH-Zugriffe zu erschweren: Generell sind User-Namen nur Krücken, um den Umgang mit dem System zu vereinfachen. Tatsächlich laufen alle Zugriffe über die UID (User-ID), die immer durch eine Zahl repräsentiert ist. Um den User-Namen root zu ändern, bedarf es eines Editors. Den User-Namen müssen Sie in zwei Dateien ändern: /etc/passwd und /etc/shadow.
