hne
Joined: 11 Jul 2008 Posts: 210 Location: Hannover
|
Posted: 19.03.2010, 15:54 Post subject: eSOM/2586 sicher ins Internet stellen |
|
|
Wenn man ein Embedded System im Internet zugänglich macht, sollte man das System schützen. Es reicht hierbei nicht aus, sich darauf zu verlassen, dass man SSH benutzt, und dieses als sicher gilt.
- Passwort für Benutzer "root" setzen
Dann zwei mal ein gutes Passwort eingeben.
Sie wissen kein gutes Passwort? Dann geben Sie an der Linux Console das ein:
Code: | openssl rand -base64 12 |
Passwort für Benutzer "user" setzen
Dann zwei mal das neue Passwort eingeben.
Datei /etc/ssh/sshd_config bearbeiten
- Einloggen als "root" verhindern:
Den Eintrag "PermitRootLogin yes" auf "PermitRootLogin no" ändern
- Ganz sicher wird es, wenn man nicht mit Paßwörtern, sondern mit öffentlichen und privaten Schlüsseln arbeitet (public and private keys).
Dazu bitte zuerst auf dem eigenen Rechner ein Schlüsselpaar erstellen, auf den DIL/NetPC hoch laden und ausprobieren. Der öffentliche Schlüssel steht meist in der Datei id_rsa.pub und muß auf dem DIL/NetPC als Datei /home/user/authorized_keys abgelegt werden. Wenn die Datei schon existiert, dann den neuen Schlüssel bitte anhängen.
Jetzt das Einloggen ohne Passwort vom eigenen PC testen:
Erst wenn der Zugriff ohne Passwort möglich ist, die folgende Änderung in der sshd_config machen!
Den Eintrag "#PasswordAuthentication yes" auf "PasswordAuthentication no" ändern. Dabei das Kommentarzeichen am Anfang der Zeile entfernen.
Siehe auch www.schlittermann.de/doc/ssh
Um die Anzahl der Angriffe zu veringern, kann man den Port 22 auf einen beliebigen andern Port zwischen 2000 und 65000 verstecken. Der Port sollte nicht in der Liste der bekannten Dienste (/etc/services) stehen.
SSH neu starten bzw. die Config neu lesen lassen:
Code: | /etc/init.d/ssh reload |
Testweise von einem anderen Rechner versuchen, sich als "user" anzumelden.
Wurde "PasswordAuthentication no" eingestellt, dann erscheint keine Passwortabfrage und die Verbindung wird getrennt. Auf jeden Fall sollte das Einloggen als Benutzer "root" nicht mehr möglich sein.
Aktivieren Sie die Firewall und lassen sie nur sichere Dienste durch, also ssh und webserver (http/https). Testen Sie, daß man vom Internet aus nicht per Telnet (Port 23) oder FTP (Port 20) auf das Gerät kommt.
_________________ Henry Nestler |
|