Re: Frage zur SSH Kennung
Hallo Joerg, On Sat, 9 Jul 2005, Joerg Zimmermann wrote: Jens Ruehmkorf wrote: Es ist meine Meinung, dass man staerkere Aenderungen im Versionsstring dokumentieren sollte. Auch oder vor allem, damit Bug-Reports Upstream besser verstanden werden (Client X und Server Y klappen nicht). Das kann ich ja auch nachvollziehen nur warum steht da Debian-8.sarge.4 und nicht 'Patch-x.y.z' na, da bin ich Deiner Meinung. Man koennte es etwas subtiler verpacken ... -- Schoenes WE Jens -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Hallo Jens, Jens Ruehmkorf wrote: Hallo Joerg, bitte schalt mal einen Gang runter. Ok? Liegt's an Wuppertal vs. Koeln? (Und ich dachte, das sei nur bei Duesseldorf und Koeln so.) Aber da kann ich Dich beruhigen, ich bin eh' Immi (soll heissen zugezogen, aber schon freiwillig). Ich kann also auch mit Duesseldorfern, oder Wuppertalern oder woher auch immer die Leute kommen. schluck, ich wollte zu keiner Zeit unfreundlich sein und ich mag Koeln;) [..] Der Aufruf compat_datafellows() setzt die Flags fuer die Bugs die der betreffende SSH-Client hat (nach Meinung des SSH-Servers). Siehe auch compat.c Danke für Deine ausführliche Erläuterung. Mir war nicht klar das im SSH-Server um BUGs fuer Clients herum programmiert wird. [..] Es ist meine Meinung, dass man staerkere Aenderungen im Versionsstring dokumentieren sollte. Auch oder vor allem, damit Bug-Reports Upstream besser verstanden werden (Client X und Server Y klappen nicht). Das kann ich ja auch nachvollziehen nur warum steht da Debian-8.sarge.4 und nicht 'Patch-x.y.z' Deswegen muss doch nicht jeder Client/Server eine riesen-Matrix mit sich rumfuehren, wo alle moeglichen Kombinationen beruecksichtigt sind. Wäre ja dann konsequent. Aber wenn eine Distribution durch Patchen des sshd einen Bock schiesst, kann man darauf reagieren, dann wird die fehlerhafte Kombination in zukuenftigen Implementierungen beruecksichtigt. Denn das Problem ist klar und gut dokumentiert anhand der Log-Mitschnitte in den Bug-Tracking-Systeme. Und _das_ finde ich wichtig. ok, kann ich nachvollziehen. Das ändert aber nichts an meiner Meinung. nächtliche Grüsse -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
On 07.Jul 2005 - 01:02:53, Markus Boas wrote: Am Mittwoch 06 Juli 2005 17:42 schrieb Mathias Tauber: Servus mal wieder, mir ist folgendes aufgefallen: Ruft man das hier auf (Sarge System), xxx:~# telnet xxx 22 Trying xxx.xxx.xxx.xxx... Connected to xxx. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 bekommt man Daten, die mir nicht wirklich gefallen. Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was haltet ihr davon? Grüße Mathias Also intressanterweise Sid (experimental) meldet nur noch Nein, das meldet sid-normal, guck dir mal die policy von openssh-server an... sid normal Dein sid-normal ist nicht aktuell, denn da haben wir schon 4.1p1-4er OpenSSH. Andreas -- You will remember something that you should not have forgotten. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Joerg Zimmermann schrieb: Jan Kohnert wrote: Kennst du dazu noch die beste Firewall? Mit dem Bolzenschneider durchs Netzkabel. Ich hoffe doch sehr, Du meinst das Stromkabel und nicht nur das Netzwerkkabel. Ne, dann ist doch die uptime versaut! Du hast ja gar keine Ahnung ;-) - -- Bye, Patrick Cornelissen http://www.p-c-software.de ICQ:15885533 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFCzNTK4/Hplayn3Y8RAu4BAJ44gC0JVxucjrvoQ17lRNPO59k28ACeM/yX ITm/KMdm4GFy24wpiweJ754= =/EHK -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Moin, Schon mal was von nmap gehört ? Das braucht keine 3 Sekunden um das OS herauszufinden nmap war bei mir nicht in der Lage das OS zu bestimmen. Lediglich die Info, dass es sich um Linux handelt, aber das is sowieso klar. Mit welchen Parametern rufst du nmap auf, damit es dir z.B. Debian anzeigt? Grüße Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Hi, Im tar-file von OpenSSH findet sich etwa in eine Liste von Flags, die je nachdem, mit welchem SSH-Gegenpart man redet, anders gesetzt sind. Und da die OpenSSH-Version von Debian eben nicht 100% Upstream ist, sondern eben auch den einen oder anderen relevanten Patch enthaelt, ist es hier m.E. geboten und notwendig, die Version mit zu uebertragen. da kommen mir zwei Fragen: 1. Ist das wirklich für eine Initial-Verbindung notwendig, oder kann man das nicht 'klären', wenn man mit dem Server schon verbunden ist? 2. Habe ich dich richtig verstanden, dass ein Client wie Putty (oder wer auch immer) eine Unterscheidung bzgl. der Verbindungsart trifft, wenn er 'Debian-8.sarge.4' liest? Grüße Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Hi, Florian Heinle wrote: Ahoi, Am Mittwoch 06 Juli 2005 22:31 schrieb Joerg Zimmermann: 'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir mal 737 machst, oder deine /etc/passwd in /usr/lib/geheimepasswoerter umbennenst. klingt trotzdem negativ. Ich finde es ist schon von Vorteil,wenn mein SSH Port so obscure ist, dass er nicht beim massenhaften Scan von IP-Blöcken auf Port 22 gefunden wird. ein guter Scan erkennt SSH auch auf einem anderen Port. Ausserdem erschwerst Du damit berechtigte Verbindungswünsche. Ich wollte das aber nicht verteufeln, es mag immer Situationen geben, in denen das durchaus sinnvoll ist. In der Regel wird durch diese Art von Maßnahmen allerdings nur der Administrationsaufwand erhöht. Ich habe mehrfach an Rechnern gesessen, an denen der Admin mit seltsamen Maßnahmen die host-Sicherheit erhöhen wollte und im Endefekt nur einen erhöhten Administrationsaufwand erreicht hat. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Joerg Zimmermann wrote: Port Knocking ist 'Security by obscurity'. Würde ich nicht unbedingt dazu zählen, aber okay. Sind halt alles kleine Stückchen zu einem sicherem System (welches es einfach nicht gibt) - sonst hätte sich das bei allen Banken und Instutionen schon längst durchgesetzt. alleine dioe ganzen Patches .. unrealistisch eben. Es fällt mir an dieser Stelle jedoch nichts anderes ein, wie obige Meldung zu unterdrücken wäre. Dafür würde ich mir ein eigenes kleines apt-archiv anlegen und von dortaus kannst Du dann die einzelnen Pakete bequem updaten, sollte kein Problem sein :-) Cheers, Jan -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.1 (MingW32) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFCzPSqvvmCkIIgH8QRAvASAJ9/mFO/X1fEgUtmZ+MgWFacMnvx/wCgnYqz iXzI9b+J8tnz1mkTeRZJvmI= =BPHI -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Am Donnerstag 07 Juli 2005 10:59 schrieb Joerg Zimmermann: ein guter Scan erkennt SSH auch auf einem anderen Port. Ausserdem automatische Würmer und solche Späße gehen halt meistens aber nur über Port 22 und suchen nicht erst unnötig viele Portbereiche ab. erschwerst Du damit berechtigte Verbindungswünsche. Ich wollte das berechtigte Verbindungswünsche können ruhig den Port mit angeben aber nicht verteufeln, es mag immer Situationen geben, in denen das durchaus sinnvoll ist. Ja, etwa, wenn nur berechtigte Personen in einem überschaubaren Kreis Shellzugänge kriegen sollen. So aus Sicherheitsgründen etwa ;-) In der Regel wird durch diese Art von Maßnahmen allerdings nur der Administrationsaufwand erhöht. Das dauert doch keine 5 Minuten :) geänderte Ports kann man in der Konfiguration des ssh clients vermerken. Ich habe mehrfach an Rechnern gesessen, an denen der Admin mit seltsamen Maßnahmen die host-Sicherheit erhöhen wollte und im Endefekt nur einen erhöhten Administrationsaufwand erreicht hat. wie du schon sagtest - das macht Sinn, wenn die Situation danach steht. -Jörg Gruß, Florian pgpg5pCyiw2YE.pgp Description: PGP signature
Re: Frage zur SSH Kennung
Am Mittwoch, den 06.07.2005, 22:31 +0200 schrieb Joerg Zimmermann: [Versions-Anzeige und security by obscurity] Und wieso gehört das nicht zu: security thru obscurity? Es sagt ja keiner das das der einzige Schutz ist, aber eben eine zusätzliche Maßnahme. 'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir mal 737 machst, oder deine /etc/passwd in /usr/lib/geheimepasswoerter umbennenst. Es ist nichts obscures daran, einem potenziellen Angreifer keine unnötigen Informationen zu liefern. Du irrst :) Obscurity heißt nicht nur obskur/Obskurität, so wie wir es im Deutschen verwenden. Es heißt auch Unklarheit. Genau das erreichst du, indem du die Information über die Version verbirgst - also den potentiellen Angreifer über die Version im Unklaren lässt. Das ist zweifelsfrei: security by obscurity. Genau genommen, ist genau das einer wichtigsten Grundsätze zur Sicherheit in IT-Systemen. Warum erzeugt security by obscurity nur immer diesen negativen Anklang? MfG Daniel
Re: Frage zur SSH Kennung
Am Donnerstag, 7. Juli 2005 16:26 schrieb Daniel Leidert: Am Mittwoch, den 06.07.2005, 22:31 +0200 schrieb Joerg Zimmermann: [Versions-Anzeige und security by obscurity] Und wieso gehört das nicht zu: security thru obscurity? Es sagt ja keiner das das der einzige Schutz ist, aber eben eine zusätzliche Maßnahme. 'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir mal 737 machst, oder deine /etc/passwd in /usr/lib/geheimepasswoerter umbennenst. Es ist nichts obscures daran, einem potenziellen Angreifer keine unnötigen Informationen zu liefern. Du irrst :) Obscurity heißt nicht nur obskur/Obskurität, so wie wir es im Deutschen verwenden. Es heißt auch Unklarheit. Genau das erreichst du, indem du die Information über die Version verbirgst - also den potentiellen Angreifer über die Version im Unklaren lässt. Das ist zweifelsfrei: security by obscurity. 100% agree Genau genommen, ist genau das einer wichtigsten Grundsätze zur Sicherheit in IT-Systemen. Warum erzeugt security by obscurity nur immer diesen negativen Anklang? das wüßte ich auch gerne, wer sich davon einen Vorteil verspricht soll es doch einsetzen. Ist ja nicht so, das das keiner mehr machen würde seit die meisten Crypto-Algorithmen public sind. -- Markus Schulz Heute glaubt anscheinend jeder, Programme seien Geister, die in kleinen Totems wohnen und durch zweimaliges Berühren mit dem Mausfetisch beschworen werden. Daher vermutlich das Unvermögen, ein Programm zu starten, wenn das Totem verlorengegangen ist. (Thorsten Lange in d.a.s.r.)
Re: Frage zur SSH Kennung
Hallo Mathias, On Thu, 7 Jul 2005, Mathias Tauber wrote: Im tar-file von OpenSSH findet sich etwa in eine Liste von Flags, die je nachdem, mit welchem SSH-Gegenpart man redet, anders gesetzt sind. Und da die OpenSSH-Version von Debian eben nicht 100% Upstream ist, sondern eben auch den einen oder anderen relevanten Patch enthaelt, ist es hier m.E. geboten und notwendig, die Version mit zu uebertragen. da kommen mir zwei Fragen: 1. Ist das wirklich f?r eine Initial-Verbindung notwendig, oder kann man das nicht 'kl?ren', wenn man mit dem Server schon verbunden ist? mit verbunden meinst Du, der Benutzer ist authentifiziert? Grundsaetzlich werden Fehler am ehesten beim Auf- oder Abbau einer Verbindung entstehen. Und ja: ein Grossteil der notwendigen Informationen laesst sich nach erfolgtem Verbindungsaufbau generieren. Aber es ist muessig, darueber zu diskutieren, wie man's anders/besser machen koennte, da der OpenSSH dies nun mal zu Anfang der Verbindung abfragt. Aus einem rfc-draft von T. Ylonen zu SSH: -- http://www.free.lp.se/fish/rfc.txt -- When the client connects the server, the server accepts the connec- tion and responds by sending back its version identification string. The client parses the server's identification, and sends its own identification. The purpose of the identification strings is to validate that the connection was to the correct port, declare the protocol version number used, and to declare the software version used on each side (for debugging purposes). The identification strings are human-readable. If either side fails to understand or support the other side's version, it closes the connection. After the protocol identification phase, both sides switch to a packet based binary protocol. -- snap -- Mit der ersten Implementierung von Ylonen hat sich diese Vorgehensweise eben als common practice durchgesetzt. 2. Habe ich dich richtig verstanden, dass ein Client wie Putty (oder wer auch immer) eine Unterscheidung bzgl. der Verbindungsart trifft, wenn er 'Debian-8.sarge.4' liest? Im Prinzip: ja. In der Praxis in der Konstellation mit putty als Client wohl eher: nein. Ein Java-Client wie MindTerm wird aber immerhin in compat.c abgefragt, auch wenn er z.Zt. keine relevanten Bugs zu haben scheint. Was den 'Debian-8.sarge.4'-String angeht: bei einem Release-Zyklus von 3 Jahren (oder auch 18 Monaten) kann es sehr wohl sein, dass sich der mit einigen Patches modifizierte Debian-OpenSSH anders benimmt, als der OpenSSH-Upstream der gleichen Version. Da ist es geboten, dies auch beim Verbindungsaufbau kundzutun. Hm? -- MfG Jens
Re: Frage zur SSH Kennung
Hallo Liste, wollte auch mal meinen Senf dazugeben. automatische Würmer und solche Späße gehen halt meistens aber nur über Port 22 und suchen nicht erst unnötig viele Portbereiche ab. Diese haben aber i.d.R. auch nicht genügend Intelligenz um Anhand des Rückgabestrings zu ermitteln, welche Angriffe zu starten sind. Meist sind das ein paar Versuche mit root:root (o.Ä.) einzudringen und dann geben sie nach 'ner knappen Minute schon wieder auf. Dies ist zwar lästig, aber keinesfalls gefährlich (oder ?!?). Es kann sein, dass durch das verändern des Standartports dein Traffic um ein paar Bit geringer ausfällt ;) , aber ein wirksammer Schutz ist es in keinem Fall ... siehe andere Postings in diesem Thread. MfG Andreas Bießmann signature.asc Description: OpenPGP digital signature
Re: Frage zur SSH Kennung
Nabend, 2. Habe ich dich richtig verstanden, dass ein Client wie Putty (oder wer auch immer) eine Unterscheidung bzgl. der Verbindungsart trifft, wenn er 'Debian-8.sarge.4' liest? Im Prinzip: ja. In der Praxis in der Konstellation mit putty als Client wohl eher: nein. Ein Java-Client wie MindTerm wird aber immerhin in compat.c abgefragt, auch wenn er z.Zt. keine relevanten Bugs zu haben scheint. Was den 'Debian-8.sarge.4'-String angeht: bei einem Release-Zyklus von 3 Jahren (oder auch 18 Monaten) kann es sehr wohl sein, dass sich der mit einigen Patches modifizierte Debian-OpenSSH anders benimmt, als der OpenSSH-Upstream der gleichen Version. Da ist es geboten, dies auch beim Verbindungsaufbau kundzutun. gibt es irgendwo eine Seite mit den OS/Client spezifischen Bugs? Das würde mich schon mal interessieren... Und da ja immer von dem Release-Zyklus gesprochen wird, welche Eigenheiten haben sich denn bei Woody angesammelt? Bitte die Fragen nicht als persönlichen Angriff verstehen! Ich finde es nur merkwürdig, dass für OSe/Clients Ausnahme XY besteht und deswegen für die falsche Person wertvolle Informationen preis gegeben sollen, ohne das man diese über die Konfig deaktivieren kann, wenn sie gar nicht gebraucht werden. Ich bin einfach der Meinung, dass die Info welche OS auf dem Server läuft, für einen richtigen Hacker eine enorme Hilfe darstellt. Ich denke dadurch braucht er einfach weniger Zeit, was für den Admin weniger Zeit/Möglichkeiten zum Entdecken bedeutet. Ein IDS kennt zwar einige Exploits, jedoch nicht alle. Muss ein Hacker mehrere Exploits ausprobieren, ist doch die Wahrscheinlichkeit ihn zu entdecken wesentlich höher, oder irre ich mich hier total??? Grüße und Danke für intesive und informative Diskussion!!! Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Hallo Mathias, Mathias Tauber [EMAIL PROTECTED] wrote: gibt es irgendwo eine Seite mit den OS/Client spezifischen Bugs? Das würde mich schon mal interessieren... Hier könntest Du z.B. nachsehen: http://www.securityfocus.com/bid Frank -- echo '23dd4-+dn10-P18+d4+d14+PPP[]pq'|dc
Re: Frage zur SSH Kennung
Hi, Daniel Leidert wrote: Am Mittwoch, den 06.07.2005, 22:31 +0200 schrieb Joerg Zimmermann: [Versions-Anzeige und security by obscurity] Und wieso gehört das nicht zu: security thru obscurity? Es sagt ja keiner das das der einzige Schutz ist, aber eben eine zusätzliche Maßnahme. 'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir mal 737 machst, oder deine /etc/passwd in /usr/lib/geheimepasswoerter umbennenst. Es ist nichts obscures daran, einem potenziellen Angreifer keine unnötigen Informationen zu liefern. Du irrst :) Obscurity heißt nicht nur obskur/Obskurität, so wie wir es im Deutschen verwenden. Es heißt auch Unklarheit. Genau das Unklar bedeutet, das etwas klar sein muss. Um ein ssh zu machen muss ich nicht Klarheit über das eingesetzte Betriebssystem auf der Gegenseite haben. erreichst du, indem du die Information über die Version verbirgst - also den potentiellen Angreifer über die Version im Unklaren lässt. Das ist zweifelsfrei: security by obscurity. Mit security by obscurity ist im allgemeinen gemeint durch unübliche Konfiguration eines Hosts oder IT-Systems einen potenziellen Angreifer zu verwirren. Genau genommen, ist genau das einer wichtigsten Grundsätze zur Sicherheit in IT-Systemen. Warum erzeugt security by obscurity nur immer diesen negativen Anklang? Weil mit security by obscurity meistens nicht der Angreifer verwirrt wird, sondern die mit der Administration betrauten Personen. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Hi, Dein Zeichensatz ist immer noch kaputt. mit verbunden meinst Du, der Benutzer ist authentifiziert? Grundsaetzlich werden Fehler am ehesten beim Auf- oder Abbau einer Verbindung entstehen. Und ja: ein Grossteil der notwendigen Informationen laesst sich nach erfolgtem Verbindungsaufbau generieren. Aber es ist muessig, darueber zu diskutieren, wie man's anders/besser machen koennte, da der OpenSSH dies nun mal zu Anfang der Verbindung abfragt. Aus einem rfc-draft von T. Ylonen zu SSH: -- http://www.free.lp.se/fish/rfc.txt -- When the client connects the server, the server accepts the connection and responds by sending back its version identification string. The client parses the server's identification, and sends its own identification. The purpose of the identification strings is to validate that the connection was to the correct port, declare the protocol version number used, and to declare the software version used on each side (for debugging purposes). The identification strings are human-readable. If either side fails to understand or support the other side's version, it closes the connection. Mit der ersten Implementierung von Ylonen hat sich diese Vorgehensweise eben als common practice durchgesetzt. Wenn Du schon so anfängst, dann lies Dir das auch richtig durch. Da steht nix davon das der SSH Server sein Betriebssystem als String inclusive Version des Betriebssystems mit sendet. 2. Habe ich dich richtig verstanden, dass ein Client wie Putty (oder wer auch immer) eine Unterscheidung bzgl. der Verbindungsart trifft, wenn er 'Debian-8.sarge.4' liest? Im Prinzip: ja. In der Praxis in der Konstellation mit putty als Client wohl eher: nein. Ein Java-Client wie MindTerm wird aber immerhin in compat.c abgefragt, auch wenn er z.Zt. keine relevanten Bugs zu haben scheint. Zeig mir die Stelle wo im SSH Server eine Clientversion abgefragt wird. Was den 'Debian-8.sarge.4'-String angeht: bei einem Release-Zyklus von 3 Jahren (oder auch 18 Monaten) kann es sehr wohl sein, dass sich der mit einigen Patches modifizierte Debian-OpenSSH anders benimmt, als der OpenSSH-Upstream der gleichen Version. Da ist es geboten, dies auch beim Verbindungsaufbau kundzutun. Sofern Du die gleiche Protokollversion verwendest, wird sich ein SSH Server beim Verbindungsaufbau nicht anders verhalten nur weil er gepatcht ist. Und wenn Du mir jetzt noch einmal wiedersprichst, dann zeige mir bitte _WO_ sich das Protokoll ändert. Deine Argumentation ist doch vollkommen daneben. Würde das so funktionieren, müsste jeder Client jeden Server kennen respektive umgekehrt und dann auch noch in den jeweiligen Versionen und Patchständen. Achja, das Betriebssystem müsste ja auch noch berücksichtigt werden. Selten so gelacht. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Am Donnerstag, 7. Juli 2005 20:41 schrieb Joerg Zimmermann: Hi, Daniel Leidert wrote: Am Mittwoch, den 06.07.2005, 22:31 +0200 schrieb Joerg Zimmermann: [Versions-Anzeige und security by obscurity] Und wieso gehört das nicht zu: security thru obscurity? Es sagt ja keiner das das der einzige Schutz ist, aber eben eine zusätzliche Maßnahme. 'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir mal 737 machst, oder deine /etc/passwd in /usr/lib/geheimepasswoerter umbennenst. Es ist nichts obscures daran, einem potenziellen Angreifer keine unnötigen Informationen zu liefern. Du irrst :) Obscurity heißt nicht nur obskur/Obskurität, so wie wir es im Deutschen verwenden. Es heißt auch Unklarheit. Genau das Unklar bedeutet, das etwas klar sein muss. Um ein ssh zu machen muss ich nicht Klarheit über das eingesetzte Betriebssystem auf der Gegenseite haben. erreichst du, indem du die Information über die Version verbirgst - also den potentiellen Angreifer über die Version im Unklaren lässt. Das ist zweifelsfrei: security by obscurity. Mit security by obscurity ist im allgemeinen gemeint durch unübliche Konfiguration eines Hosts oder IT-Systems einen potenziellen Angreifer zu verwirren. Das ist unfug, S-T-O heißt einfach nur das man Informationen verschweigt um damit das Sicherheitsniveau zu steigern. Es stammt schliesslich aus der Kryptographie, wo man einfach die eingesetzten Algorithmen nicht offen legte um sie so für sicher zu erklären. Eine weitere Methode wäre z.B. Closed Source. -- Markus Schulz Ich dachte immer, UNIX ist was für Leute, denen es gefällt, auf einen Bildschirm zu starren, auf dem es aussieht, als hätte sich gerade ein Gürteltier auf der Tastatur gewälzt. (Stefan Schneider)
Re: Frage zur SSH Kennung
Am Donnerstag, den 07.07.2005, 23:17 +0200 schrieb Markus Schulz: Am Donnerstag, 7. Juli 2005 20:41 schrieb Joerg Zimmermann: [..] Mit security by obscurity ist im allgemeinen gemeint durch unübliche Konfiguration eines Hosts oder IT-Systems einen potenziellen Angreifer zu verwirren. Das ist unfug, S-T-O heißt einfach nur das man Informationen verschweigt um damit das Sicherheitsniveau zu steigern. [..] Verschweigen und/oder (ver)fälschen/ändern, unüblich konfigurieren/Standards missachten, etc.pp. Ist doch alles eine Suppe - tarnen und täuschen :) Einige Dinge machen Sinn und manche weniger. Eins haben IMO aber alle S-T-O Maßnahmen gemein: im Gegensatz zum Patchverhalten (etc.) oder der Backup-Strategie (etc.) werden sie einen wirklich entschlossenen Angreifer IMHO nicht aufhalten und den möglichen Schaden auch nicht minimieren können. Darum würde ich S-T-O-Maßnahmen auch nicht überbewerten. MfG Daniel
Re: Frage zur SSH Kennung
Hallo Joerg, bitte schalt mal einen Gang runter. Ok? Liegt's an Wuppertal vs. Koeln? (Und ich dachte, das sei nur bei Duesseldorf und Koeln so.) Aber da kann ich Dich beruhigen, ich bin eh' Immi (soll heissen zugezogen, aber schon freiwillig). Ich kann also auch mit Duesseldorfern, oder Wuppertalern oder woher auch immer die Leute kommen. Ich will's zumindest versuchen ;) Zu Deiner E-Mail: On Thu, 7 Jul 2005, Joerg Zimmermann wrote: Hi, Dein Zeichensatz ist immer noch kaputt. Hoffe das ist jetzt gefixt. Aus einem rfc-draft von T. Ylonen zu SSH: -- http://www.free.lp.se/fish/rfc.txt -- When the client connects the server, the server accepts the connection and responds by sending back its version identification string. The client parses the server's identification, and sends its own identification. The purpose of the identification strings is to validate that the connection was to the correct port, declare the protocol version number used, and to declare the software version used on each side (for debugging purposes). The identification strings are human-readable. If either side fails to understand or support the other side's version, it closes the connection. Mit der ersten Implementierung von Ylonen hat sich diese Vorgehensweise eben als common practice durchgesetzt. Wenn Du schon so anfängst, dann lies Dir das auch richtig durch. Da steht nix davon das der SSH Server sein Betriebssystem als String inclusive Version des Betriebssystems mit sendet. Hm. Da ist von the server's identification die Rede. Ich bin der Meinung, dass man das bei einem gepatchten Debian-SSH die Aenderungen im Versions-String auch mitteilen sollte, Du nicht. Fuer beides gibt es stimmige Argumente. Auf der einen Seite Debugging und Benutzbarkeit, auf der anderen Seite die Sicherheit und dass es unnoetig ist. Im Prinzip: ja. In der Praxis in der Konstellation mit putty als Client wohl eher: nein. Ein Java-Client wie MindTerm wird aber immerhin in compat.c abgefragt, auch wenn er z.Zt. keine relevanten Bugs zu haben scheint. Zeig mir die Stelle wo im SSH Server eine Clientversion abgefragt wird. Ok, dann mach ich mir die Muehe. Hier: -- sshd.c, Funktion int main(), -- /* * Register our connection. This turns encryption off because we * do not have a key. */ packet_set_connection(sock_in, sock_out, -1); remote_port = get_remote_port(); remote_ip = get_remote_ipaddr(); // ein paar Zeilen ausgelassen /* Log the connection. */ verbose(Connection from %.500s port %d, remote_ip, remote_port); /* * We don\'t want to listen forever unless the other side * successfully authenticates itself. So we set up an alarm which * is cleared after successful authentication. */ // ein paar Zeilen ausgelassen sshd_exchange_identification(sock_in, sock_out); -- sshd.c, Funktion sshd_exchange_identification() -- static void sshd_exchange_identification(int sock_in, int sock_out) { // Zeilen ausgelassen ... /* Send our protocol version identification. */ if (atomicio(vwrite, sock_out, server_version_string, strlen(server_version_string)) != strlen(server_version_string)) { logit(Could not write ident string to %s, get_remote_ipaddr()); cleanup_exit(255); } // Zeilen ausgelassen ... /* Read other sides version identification. */ memset(buf, 0, sizeof(buf)); // Zeilen ausgelassen ... buf[sizeof(buf) - 1] = 0; client_version_string = xstrdup(buf); debug(Client protocol version %d.%d; client software version %.100s, remote_major, remote_minor, remote_version); compat_datafellows(remote_version); -- snap -- Der Aufruf compat_datafellows() setzt die Flags fuer die Bugs die der betreffende SSH-Client hat (nach Meinung des SSH-Servers). Siehe auch compat.c Was den 'Debian-8.sarge.4'-String angeht: bei einem Release-Zyklus von 3 Jahren (oder auch 18 Monaten) kann es sehr wohl sein, dass sich der mit einigen Patches modifizierte Debian-OpenSSH anders benimmt, als der OpenSSH-Upstream der gleichen Version. Da ist es geboten, dies auch beim Verbindungsaufbau kundzutun. Ich sehe ein, da muss ich mich genauer fassen: 1. Client und Server sollten sich zu einem gegebenen Zeitpunkt ueber das Protokoll, die jeweils verwendete Implementierung, Version etc. informieren. 2. Es ist (nach der Implementierung von Ylonen, auf der OpenSSH fuer v2 aufbaut) common practice, dies beim Verbindungsaufbau zu tun. Es ist natuerlich voellig denkbar, dass man das nicht beim Aufbau der Verbindung macht, sondern zu einem spaeteren Zeitpunkt. Dann muesste man sich anfangs nur auf grobere Dinge einigen (etwa das
Re: Frage zur SSH Kennung
On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote: bekommt man Daten, die mir nicht wirklich gefallen. Wieso? Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? Andreas -- You will not be elected to public office this year. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Am Mittwoch, 6. Juli 2005 18:08 schrieb Andreas Pakulat: On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote: bekommt man Daten, die mir nicht wirklich gefallen. Wieso? Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? security thru obscurity -- Markus Schulz Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.
Re: Frage zur SSH Kennung
Markus Schulz wrote: Am Mittwoch, 6. Juli 2005 18:08 schrieb Andreas Pakulat: On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote: bekommt man Daten, die mir nicht wirklich gefallen. Wieso? Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? security thru obscurity So ein Unfug. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Andreas Pakulat wrote: On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote: bekommt man Daten, die mir nicht wirklich gefallen. Wieso? Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? doofe Frage. Vielleicht dass ein potenzieller Angreifer nicht alle relevanten Informationen frei Haus geliefert bekommt. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Hi, Mathias Tauber wrote: Servus mal wieder, mir ist folgendes aufgefallen: Ruft man das hier auf (Sarge System), xxx:~# telnet xxx 22 Trying xxx.xxx.xxx.xxx... Connected to xxx. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 bekommt man Daten, die mir nicht wirklich gefallen. Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? nein. _Das_ muss/sollte da nicht stehen. Ein Grund mehr sich sein Zeugs selber zu kompilieren oder ein OS zu verwenden wo so unnötige Fehler nicht passieren. Kopfschüttel. Mir ist an dieser Stelle kein Schalter in der config bekannt, mit dem sich das unterdrücken lässt. Wie gesagt, selber kompilieren dürfte wohl die einzige Lösung sein. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Joerg Zimmermann schrieb: Andreas Pakulat wrote: Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? doofe Frage. Vielleicht dass ein potenzieller Angreifer nicht alle relevanten Informationen frei Haus geliefert bekommt. Kennst du dazu noch die beste Firewall? Mit dem Bolzenschneider durchs Netzkabel. SCNR -Jörg MfG Jan -- OpenPGP Public-Key Fingerprint: 0E9B 4052 C661 5018 93C3 4E46 651A 7A28 4028 FF7A pgpPqexmedsqd.pgp Description: PGP signature
Re: Frage zur SSH Kennung
Am 2005-07-06 21:27:07, schrieb Joerg Zimmermann: Hi, nein. _Das_ muss/sollte da nicht stehen. Ein Grund mehr sich sein Zeugs selber zu kompilieren oder ein OS zu verwenden wo so unnötige Fehler nicht passieren. Und welches bitte ? NetBSD, OpenBSD, Solaris, HP-UX oder Irix ? Die Zeigen alle die Version an. -Jörg Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Frage zur SSH Kennung
Am Mittwoch, 6. Juli 2005 21:20 schrieb Joerg Zimmermann: Markus Schulz wrote: Am Mittwoch, 6. Juli 2005 18:08 schrieb Andreas Pakulat: On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote: bekommt man Daten, die mir nicht wirklich gefallen. Wieso? Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? security thru obscurity So ein Unfug. ähm? Ich zitiere mal aus deinem anderem Posting: Vielleicht dass ein potenzieller Angreifer nicht alle relevanten Informationen frei Haus geliefert bekommt. Und wieso gehört das nicht zu: security thru obscurity? Es sagt ja keiner das das der einzige Schutz ist, aber eben eine zusätzliche Maßnahme. Ob das sinnvoll ist oder nicht habe ich nicht gesagt. -- Markus Schulz Wenn manche Leute verstanden hätten, wie Patente erteilt werden würden, als die meisten der heutigen Ideen erfunden wurden, und wenn sie sich dann Patente geholt hätten, wäre unsere Branche heute im kompletten Stillstand. Bill Gates (1991)
Re: Frage zur SSH Kennung
ja hallo erstmal,... Am Mittwoch, 6. Juli 2005 21:27 schrieb Joerg Zimmermann: Hi, Mathias Tauber wrote: Servus mal wieder, mir ist folgendes aufgefallen: Ruft man das hier auf (Sarge System), xxx:~# telnet xxx 22 Trying xxx.xxx.xxx.xxx... Connected to xxx. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 bekommt man Daten, die mir nicht wirklich gefallen. Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? nein. _Das_ muss/sollte da nicht stehen. Ein Grund mehr sich sein Zeugs selber zu kompilieren oder ein OS zu verwenden wo so unnötige Fehler nicht passieren. Kopfschüttel. Was genau stört dich daran / macht dein System unsicherer? Keep smiling yanosz
Re: Frage zur SSH Kennung
On Wed, 6 Jul 2005, Mathias Tauber wrote: Servus mal wieder, mir ist folgendes aufgefallen: Ruft man das hier auf (Sarge System), xxx:~# telnet xxx 22 Trying xxx.xxx.xxx.xxx... Connected to xxx. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 bekommt man Daten, die mir nicht wirklich gefallen. Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht l?schen kann/soll, wegen der Client-Kompatibilit?t. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Im tar-file von OpenSSH findet sich etwa in eine Liste von Flags, die je nachdem, mit welchem SSH-Gegenpart man redet, anders gesetzt sind. Und da die OpenSSH-Version von Debian eben nicht 100% Upstream ist, sondern eben auch den einen oder anderen relevanten Patch enthaelt, ist es hier m.E. geboten und notwendig, die Version mit zu uebertragen. Waeren alle Implementierungen Bug-frei, braeuchte man das nicht. Aber das sind sie nicht und daher muss man wissen, welche Fehler der Gegenueber denn so hat. Was haltet ihr davon? Im Prinzip kann ich Deine Bauchschmerzen aber schon verstehen ;) Gruesse Jens
Re: Frage zur SSH Kennung
On 06.Jul 2005 - 21:23:25, Joerg Zimmermann wrote: Andreas Pakulat wrote: On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote: bekommt man Daten, die mir nicht wirklich gefallen. Wieso? Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? doofe Frage. Vielleicht dass ein potenzieller Angreifer nicht alle relevanten Informationen frei Haus geliefert bekommt. So ein Unfug ;-) Sowas nennt man Security by Obscurity und hilft i.A. nichts, ausser vllt. dich in Sicherheit zu wiegen. Du glaubst doch nicht das sich jemand hinsetzt und raussucht welche Sicherheitsluecken in dem Debian-Paket vllt. noch nicht gefixt sind? Man nehme einfach die ssh-Version und teste alle bekannten Sicherheitsluecken dieser Version - kein Problem und dauert vermutlich nicht mal halb so lange. Und wenn SSH seine Version auch nicht melden wuerde, wuerde ich rueckwaert arbeiten und mit den neuesten Sicherheitsluecken anfangen, auf die Art findet man auch sehr schnell das Loch. Username/Passwort-Brute-Force-Angriffe interessieren sich nicht fuer die Version. Andreas -- You have a will that can be influenced by all with whom you come in contact. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
On Wed, 6 Jul 2005, Jens Ruehmkorf wrote: Im tar-file von OpenSSH findet sich etwa in eine Liste von Flags, die je nachdem, mit welchem SSH-Gegenpart man redet, anders gesetzt sind. Nachtrag: siehe compat.c -- Jens -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Joerg Zimmermann [EMAIL PROTECTED] wrote: Mathias Tauber wrote: Servus mal wieder, mir ist folgendes aufgefallen: Ruft man das hier auf (Sarge System), xxx:~# telnet xxx 22 Trying xxx.xxx.xxx.xxx... Connected to xxx. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 bekommt man Daten, die mir nicht wirklich gefallen. Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? nein. _Das_ muss/sollte da nicht stehen. Ein Grund mehr sich sein Zeugs selber zu kompilieren oder ein OS zu verwenden wo so unnötige Fehler nicht passieren. Fehler? Ein Angriff wird eh meist mit allen Exploits durchgeführt, denen man habhaft werden kann, sogar solche, die nur bei SSH1 griffen, egal, was die Kennung mitteilt. Und die Leute, die schlau genug sind, nach der Kennung ihre Strategie zu wählen, die wirst du auch durch das nicht-vorhandensein einer solchen nicht von ihrem Treiben abhalten können. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
On Wed, 6 Jul 2005, Joerg Zimmermann wrote: Mathias Tauber wrote: Servus mal wieder, mir ist folgendes aufgefallen: Ruft man das hier auf (Sarge System), xxx:~# telnet xxx 22 Trying xxx.xxx.xxx.xxx... Connected to xxx. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 bekommt man Daten, die mir nicht wirklich gefallen. Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht l?schen kann/soll, wegen der Client-Kompatibilit?t. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? nein. _Das_ muss/sollte da nicht stehen. Ein Grund mehr sich sein Zeugs selber zu kompilieren oder ein OS zu verwenden wo so unn?tige Fehler nicht passieren. Kopfsch?ttel. Ts ts. :) Ich will mein SSH doch auch von verschiedenen Clients aus bedienen koennen (mit ihren unterschiedlichen Bugs). Anstatt hier SSH neu zu kompilieren wuerde ich auf wichtigen Systemen eher auf einem anderem Port arbeiten und so etwas wie Port Knocking benutzen. Wesentlich effektiver, Pakete muss ich auch nicht andauern nachbauen -- es sei denn security.d.o kommt gerade nicht hinterher ;) Security by obscurity bringt da naemlich nicht viel mehr ausser mehr Arbeit fuer Dich mit wahrscheinlich weniger Nutzen fuer die User. Mir ist an dieser Stelle kein Schalter in der config bekannt, mit dem sich das unterdr?cken l?sst. Wie gesagt, selber kompilieren d?rfte wohl die einzige L?sung sein. Selber bauen dann ja, wenn's sicherheitsrelevant ist und kein Paket in der Naehe. Sonst eher nein. MfG Jens
Re: Frage zur SSH Kennung
Markus Schulz wrote: Am Mittwoch, 6. Juli 2005 21:20 schrieb Joerg Zimmermann: Markus Schulz wrote: Am Mittwoch, 6. Juli 2005 18:08 schrieb Andreas Pakulat: On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote: bekommt man Daten, die mir nicht wirklich gefallen. Wieso? Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? security thru obscurity So ein Unfug. ähm? Ich zitiere mal aus deinem anderem Posting: Vielleicht dass ein potenzieller Angreifer nicht alle relevanten Informationen frei Haus geliefert bekommt. Und wieso gehört das nicht zu: security thru obscurity? Es sagt ja keiner das das der einzige Schutz ist, aber eben eine zusätzliche Maßnahme. 'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir mal 737 machst, oder deine /etc/passwd in /usr/lib/geheimepasswoerter umbennenst. Es ist nichts obscures daran, einem potenziellen Angreifer keine unnötigen Informationen zu liefern. Genau genommen, ist genau das einer wichtigsten Grundsätze zur Sicherheit in IT-Systemen. Empfehlenswerte Lektüre dazu, 'Securing-Debian-Handbuch' (http://www.debian.de/doc/manuals/securing-debian-howto/index.de.html). -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Jan Kohnert wrote: Joerg Zimmermann schrieb: Andreas Pakulat wrote: Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? doofe Frage. Vielleicht dass ein potenzieller Angreifer nicht alle relevanten Informationen frei Haus geliefert bekommt. Kennst du dazu noch die beste Firewall? Mit dem Bolzenschneider durchs Netzkabel. Ich hoffe doch sehr, Du meinst das Stromkabel und nicht nur das Netzwerkkabel. Das Schlimme ist, dass Du damit absolut Recht hast. Ungeschickter Weise würden wir aber dann nicht mehr hier vorm Rechner sitzen. Zur Sache: Warum nennt eine Serversoftware neben ihrer Version noch unnötigerweise das Betriebssystem inclusive Version. Es gibt tonnenweise Abhandlungen zum Thema Wie erkenne ich ein Betriebssystem. Mit obiger Meldung _weiss_ ein Angreifer schon womit er es zu tun hat bevor er überhaupt sowas wie nmap auspacken musste. Damit habe ich Ihm das Leben schon erleichtert. Es soll Menschen geben die versuchen Ihre IT sicher zu machen, härten von Hosts, Firewalls und so'n Quatsch. Nach stundenlanger Konfiguration ist endlich alles sicher und Deine Schei... SSH posaunt mal eben Dein Betriebssystem samt Version in die Welt hinaus. GEIL! Und sich dann hinstellen und aller Welt erzählen wie sicher Linux ist. Ihr seid echt die Könige. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Andreas Pakulat wrote: On 06.Jul 2005 - 21:23:25, Joerg Zimmermann wrote: Andreas Pakulat wrote: On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote: bekommt man Daten, die mir nicht wirklich gefallen. Wieso? Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? doofe Frage. Vielleicht dass ein potenzieller Angreifer nicht alle relevanten Informationen frei Haus geliefert bekommt. So ein Unfug ;-) Sowas nennt man Security by Obscurity und hilft i.A. nichts, ausser vllt. dich in Sicherheit zu wiegen. Du glaubst doch nicht das sich jemand hinsetzt und raussucht welche Sicherheitsluecken in dem Debian-Paket vllt. noch nicht gefixt sind? Man nehme einfach die ssh-Version und teste alle bekannten Sicherheitsluecken dieser Version - kein Problem und dauert vermutlich nicht mal halb so lange. Und wenn SSH seine Version auch nicht melden wuerde, wuerde ich rueckwaert arbeiten und mit den neuesten Sicherheitsluecken anfangen, auf die Art findet man auch sehr schnell das Loch. siehe meine andere Mail. Das _ist_ Unfug. Es geht hier im Übrigen nicht um die Info 'SSH Version'. Die ist unvermeidlich, naja nicht wirklich, aber damit könnte man leben. Es geht schlicht um folgendes: Wenn ich als Angreifer weiss, welches Betriebssystem in welcher Version bei Dir läuft, dann weiss ich auch wo ich den Hebel ansetzen muss. Das muss dann nicht SSH sein. Das könnte auch Dein Kernel sein, Dein PAM, Dein what ever. Und das Ganze nur weil Dein SSH-Server 'loud und proud' tönt ich bin's, hier läuft Debian. _Mach_ _mich_ _auf_ oder was? Das ist doch unnötig und muss nicht sein. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Michelle Konzack wrote: Am 2005-07-06 21:27:07, schrieb Joerg Zimmermann: Hi, nein. _Das_ muss/sollte da nicht stehen. Ein Grund mehr sich sein Zeugs selber zu kompilieren oder ein OS zu verwenden wo so unnötige Fehler nicht passieren. Und welches bitte ? NetBSD, OpenBSD, Solaris, HP-UX oder Irix ? Die Zeigen alle die Version an. Die Version des SSH-Servers ist _nicht_ das Problem. Das Problem ist die Infomation Debian-8.sarge.4. Und nein, das zeigt BSD, gerade noch mal geprüft bei OpenBSD, nicht an. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Jan Lühr wrote: ja hallo erstmal,... Am Mittwoch, 6. Juli 2005 21:27 schrieb Joerg Zimmermann: Hi, Mathias Tauber wrote: Servus mal wieder, mir ist folgendes aufgefallen: Ruft man das hier auf (Sarge System), xxx:~# telnet xxx 22 Trying xxx.xxx.xxx.xxx... Connected to xxx. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 bekommt man Daten, die mir nicht wirklich gefallen. Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? nein. _Das_ muss/sollte da nicht stehen. Ein Grund mehr sich sein Zeugs selber zu kompilieren oder ein OS zu verwenden wo so unnötige Fehler nicht passieren. Kopfschüttel. Was genau stört dich daran / macht dein System unsicherer? Das jeder sehen kann, welches Betriebssystem ich verwende. Und das vollkommen überflüssigerweise. DAS stört mich daran, es macht mir nämlich Arbeit. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
On Wed, 6 Jul 2005, Joerg Zimmermann wrote: Michelle Konzack wrote: NetBSD, OpenBSD, Solaris, HP-UX oder Irix ? Die Zeigen alle die Version an. Die Version des SSH-Servers ist _nicht_ das Problem. Das Problem ist die Infomation Debian-8.sarge.4. Und nein, das zeigt BSD, gerade noch mal gepr?ft bei OpenBSD, nicht an. Nun ja. OpenSSH wird auch von OpenBSD entwickelt: -- http://www.openssh.com/openbsd.html -- OpenSSH for OpenBSD Since OpenSSH is developed by the OpenBSD group, OpenSSH is included in the base operating system, starting at OpenBSD release 2.6 -- snap -- Das die das offizielle OpenSSH nicht anders nennen muessen, ist klar ;) -- Jens
Re: Frage zur SSH Kennung
Hi Joerg! On Wed, 6 Jul 2005, Joerg Zimmermann wrote: Andreas Pakulat wrote: On 06.Jul 2005 - 21:23:25, Joerg Zimmermann wrote: Vielleicht dass ein potenzieller Angreifer nicht alle relevanten Informationen frei Haus geliefert bekommt. So ein Unfug ;-) Sowas nennt man Security by Obscurity und hilft i.A. nichts, ausser vllt. dich in Sicherheit zu wiegen. Du glaubst doch nicht das sich jemand hinsetzt und raussucht welche Sicherheitsluecken in dem Debian-Paket vllt. noch nicht gefixt sind? Man nehme einfach die ssh-Version und teste alle bekannten Sicherheitsluecken dieser Version - kein Problem und dauert vermutlich nicht mal halb so lange. Und wenn SSH seine Version auch nicht melden wuerde, wuerde ich rueckwaert arbeiten und mit den neuesten Sicherheitsluecken anfangen, auf die Art findet man auch sehr schnell das Loch. siehe meine andere Mail. Das _ist_ Unfug. Es geht hier im ?brigen nicht um die Info 'SSH Version'. Die ist unvermeidlich, naja nicht wirklich, aber damit k?nnte man leben. Es geht schlicht um folgendes: Wenn ich als Angreifer weiss, welches Betriebssystem in welcher Version bei Dir l?uft, dann weiss ich auch wo ich den Hebel ansetzen muss. Das muss dann nicht SSH sein. Das k?nnte auch Dein Kernel sein, Dein PAM, Dein what ever. Und das Ganze nur weil Dein SSH-Server 'loud und proud' t?nt ich bin's, hier l?uft Debian. _Mach_ _mich_ _auf_ oder was? Das ist doch unn?tig und muss nicht sein. So unsinnig sind Deine Ausfuehrungen nicht, aber genau betrachtet muss ich Dir widersprechen. Was soll Upstream denn sagen, wenn die ersten Bugreports reintrudeln, dass dieser und jener SSH-Server mit einem anderen SSH-Client nicht geht? Und sich dann nach langem trara herausstellt, dass unter Debian zwar lauter neue Patches eingespielt wurden, aber das nicht bei der Kommunikation zwischen Client und Server mitgeteilt wird? Die wuerden sich bedanken ... Und bedenke bitte: bei einem Release-Zyklus von zuletzt fast 3 Jahren muss man schon aus Sicherheitsgruenden einige Patches einspielen. Dass sich da die Verhaltensweise des SSH aendern kann, ist klar, dass das dokumentiert werden muss, auch. Wuerde Debian stets der OpenSSH-Version von OpenBSD folgen (d.h. _auch_ in stable, nicht nur in testing/sid), muesste man nichts an der Version aendern, da hast Du recht. Das ist aber nicht praktikabel, aus Sicherheitsgruenden sowieso. MfG Jens
Re: Frage zur SSH Kennung
Sven Hartge wrote: Joerg Zimmermann [EMAIL PROTECTED] wrote: Mathias Tauber wrote: Servus mal wieder, mir ist folgendes aufgefallen: Ruft man das hier auf (Sarge System), xxx:~# telnet xxx 22 Trying xxx.xxx.xxx.xxx... Connected to xxx. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 bekommt man Daten, die mir nicht wirklich gefallen. Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? nein. _Das_ muss/sollte da nicht stehen. Ein Grund mehr sich sein Zeugs selber zu kompilieren oder ein OS zu verwenden wo so unnötige Fehler nicht passieren. Fehler? Ein Angriff wird eh meist mit allen Exploits durchgeführt, denen Fehler? Nein, kein Fehler, nur eben unnötig und überflüssig. Jaa, Scriptkiddies nehmen natürlich alle Exploits deren sie habhaft werden können. Danach weiss allerdings auch der Letzte was abläuft. Es gibt aber auch ernsthaftere Angreifer. Die suchen sich Ihre Exploits sehr gewissenhaft aus. Wenn ich mich gegen diese Art von Angreifern wehren will/muss habe ich alle Hände voll zu tun. Und wenn ich mich dann auch noch um so überflüssige Informationslücken kümmern muss, dann finde ich das ärgerlich. man habhaft werden kann, sogar solche, die nur bei SSH1 griffen, egal, was die Kennung mitteilt. Und die Leute, die schlau genug sind, nach der Kennung ihre Strategie zu wählen, die wirst du auch durch das nicht-vorhandensein einer solchen nicht von ihrem Treiben abhalten können. Das ist richtig, aber ich erhöhe Ihre Kosten. Und je mehr es einen Angreifer kostet ein Ziel einzunehmen, um so weniger wird er motiviert sein. Und nenne mir einen Grund, warum mein SSH-Server mein Betriebssystem samt Version in die Welt posaunen muss. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Am 2005-07-06 22:58:12, schrieb Joerg Zimmermann: Die Version des SSH-Servers ist _nicht_ das Problem. Das Problem ist die Infomation Debian-8.sarge.4. Und nein, das zeigt BSD, gerade noch mal geprüft bei OpenBSD, nicht an. Ich habe die 3.5 hier und es wird angezeigt. Aber unabhängig davon kannste auch so rausbekommen welches OS da ist. -Jörg Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Frage zur SSH Kennung
Am 2005-07-06 23:01:42, schrieb Joerg Zimmermann: Jan Lühr wrote: Was genau stört dich daran / macht dein System unsicherer? Das jeder sehen kann, welches Betriebssystem ich verwende. Und das vollkommen überflüssigerweise. DAS stört mich daran, es macht mir nämlich Arbeit. Schon mal was von nmap gehört ? Das braucht keine 3 Sekunden um das OS herauszufinden -Jörg Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Frage zur SSH Kennung
On Wed, 6 Jul 2005, Michelle Konzack wrote: Am 2005-07-06 23:01:42, schrieb Joerg Zimmermann: Das jeder sehen kann, welches Betriebssystem ich verwende. Und das vollkommen ?berfl?ssigerweise. DAS st?rt mich daran, es macht mir n?mlich Arbeit. Schon mal was von nmap geh?rt ? Das braucht keine 3 Sekunden um das OS herauszufinden ironie Was? Drei Sekunden, nur um ein telnet auf Port 22 auszuwerten? Tststs... /ironie -- Jens
Re: Frage zur SSH Kennung
On 06.Jul 2005 - 22:53:00, Joerg Zimmermann wrote: siehe meine andere Mail. Das _ist_ Unfug. Es geht hier im Übrigen nicht um die Info 'SSH Version'. Die ist unvermeidlich, naja nicht wirklich, aber damit könnte man leben. Es geht schlicht um folgendes: Wenn ich als Angreifer weiss, welches Betriebssystem in welcher Version bei Dir läuft, dann weiss ich auch wo ich den Hebel ansetzen muss. Das muss dann nicht SSH sein. Das könnte auch Dein Kernel sein, Dein PAM, Dein what ever. Und das Ganze nur weil Dein SSH-Server 'loud und proud' tönt ich bin's, hier läuft Debian. _Mach_ _mich_ _auf_ oder was? Das ist doch unnötig und muss nicht sein. In der Tat, soweit hatte ich nicht gedacht (ich musste mich mit dem Hardening mangels Server noch nicht auseinandersetzen)... Ach uebrigens: In sid sieht es zumindestens ein wenig besser aus: telnet localhost 22 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. SSH-2.0-OpenSSH_4.1p1 Debian-4 Andreas -- Try to get all of your posthumous medals in advance. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Michelle Konzack wrote: Am 2005-07-06 22:58:12, schrieb Joerg Zimmermann: Die Version des SSH-Servers ist _nicht_ das Problem. Das Problem ist die Infomation Debian-8.sarge.4. Und nein, das zeigt BSD, gerade noch mal geprüft bei OpenBSD, nicht an. Ich habe die 3.5 hier und es wird angezeigt. Aber unabhängig Nö, zeigt er nicht. Zeig doch mal. Meiner (3.6) zeigt: SSH-2.0-OpenSSH_3.9 Da steht nix von OpenBSD. Und ich wette, auch der 3.5'er zeigt Dir das nicht. davon kannste auch so rausbekommen welches OS da ist. Achja? Was willste denn da alles so ausprobieren. Denn nmap und Konsorten wird Dir bei einem gut aufgesetztem System nichts Brauchbares liefern. Dafür wirst Du dann schon etwas tiefer in die Kiste greifen müssen. Und das kostet. Gehen tut alles. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Michelle Konzack wrote: Am 2005-07-06 23:01:42, schrieb Joerg Zimmermann: Jan Lühr wrote: Was genau stört dich daran / macht dein System unsicherer? Das jeder sehen kann, welches Betriebssystem ich verwende. Und das vollkommen überflüssigerweise. DAS stört mich daran, es macht mir nämlich Arbeit. Schon mal was von nmap gehört ? Das braucht keine 3 Sekunden um das OS herauszufinden Ja, bei einer Debian ohne 'Nachbehandlung', bei Windows und SuSE sowie 'Red Hat' oder DOS. Schwieriger wird das für nmap dann bei etwas exotischeren Betriebssystemen. Vorallendingen, wenn die Informationen die so ein Betriebssystem liefert wiedersprüchlich sind. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
* Joerg Zimmermann schrieb: Mir ist an dieser Stelle kein Schalter in der config bekannt, mit dem sich das unterdrücken lässt. Wie gesagt, selber kompilieren dürfte wohl die einzige Lösung sein. | SSHD_CONFIG(5) [...] | VersionAddendum | Specifies a string to append to the regular version string | to identify OS- or site-specific modifications. The default | is ``FreeBSD-20030924''. Der Default sieht bei Euch offenbar anders aus ;) Gruß, Thomas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Am 2005-07-06 23:17:03, schrieb Jens Ruehmkorf: On Wed, 6 Jul 2005, Michelle Konzack wrote: Am 2005-07-06 23:01:42, schrieb Joerg Zimmermann: Das jeder sehen kann, welches Betriebssystem ich verwende. Und das vollkommen überflüssigerweise. DAS stört mich daran, es macht mir nämlich Arbeit. Schon mal was von nmap gehört ? Das braucht keine 3 Sekunden um das OS herauszufinden ironie Was? Drei Sekunden, nur um ein telnet auf Port 22 auszuwerten? Tststs... /ironie Wer spricht von Port 22 ? :-) Ein 'nmap' aufruf und nach weniger als 3 Sekunden lehne ich mich erst mal zurück, um den Roman durchzusehen was nmap mir übder das/die System/e geliefert hat. Da gibt es gewaltige Scheunentore. Auch bei einigen großen! Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Frage zur SSH Kennung
On 06.Jul 2005 - 23:10:13, Joerg Zimmermann wrote: Es gibt aber auch ernsthaftere Angreifer. Die suchen sich Ihre Exploits sehr gewissenhaft aus. Wenn ich mich gegen diese Art von Angreifern wehren will/muss habe ich alle Hände voll zu tun. Und wenn ich mich dann auch noch um so überflüssige Informationslücken kümmern muss, dann finde ich das ärgerlich. Sollte man nicht, um sich gegen ernsthafte Angreifer zu wehren, ein sichereres OS einsetzen als Linux? z.B. OpenBSD? ;-) Andreas -- Chess tonight. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Hi, was für einen Zeichensatz verwendest Du eigendlich? Content-Type: TEXT/PLAIN; charset=X-UNKNOWN ?? On Wed, 6 Jul 2005, Joerg Zimmermann wrote: Mathias Tauber wrote: Servus mal wieder, mir ist folgendes aufgefallen: Ruft man das hier auf (Sarge System), xxx:~# telnet xxx 22 Trying xxx.xxx.xxx.xxx... Connected to xxx. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 bekommt man Daten, die mir nicht wirklich gefallen. Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht l�schen kann/soll, wegen der Client-Kompatibilit�t. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? nein. _Das_ muss/sollte da nicht stehen. Ein Grund mehr sich sein Zeugs selber zu kompilieren oder ein OS zu verwenden wo so unn�tige Fehler nicht passieren. Kopfsch�ttel. Ts ts. :) Ich will mein SSH doch auch von verschiedenen Clients aus bedienen koennen (mit ihren unterschiedlichen Bugs). Anstatt hier SSH neu zu kompilieren wuerde ich auf wichtigen Systemen eher auf einem anderem Port arbeiten und so etwas wie Port Knocking benutzen. Wesentlich effektiver, Pakete muss ich auch nicht andauern nachbauen -- es sei denn security.d.o kommt gerade nicht hinterher ;) Security by obscurity bringt da naemlich nicht viel mehr ausser mehr Arbeit fuer Dich mit wahrscheinlich weniger Nutzen fuer die User. Port Knocking ist 'Security by obscurity'. Wobei ich das jetzt nicht grundsätzlich für eine schlechte Idee halte. Nur ist das eben eine weitere Stufe Sicherheit. Nur weil mein Auto Airbags hat, verzichte ich ja auch nicht auf meine Bremsen. Mir ist an dieser Stelle kein Schalter in der config bekannt, mit dem sich das unterdr�cken l�sst. Wie gesagt, selber kompilieren d�rfte wohl die einzige L�sung sein. Selber bauen dann ja, wenn's sicherheitsrelevant ist und kein Paket in der Naehe. Sonst eher nein. Ich will das Zeugs ja gar nicht selber kompilieren. Wenn ich das mit jedem Server machen würde, das könnte ja keiner mehr bezahlen, schon alleine dioe ganzen Patches .. unrealistisch eben. Es fällt mir an dieser Stelle jedoch nichts anderes ein, wie obige Meldung zu unterdrücken wäre. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Joerg Zimmermann: Es soll Menschen geben die versuchen Ihre IT sicher zu machen, härten von Hosts, Firewalls und so'n Quatsch. Nach stundenlanger Konfiguration ist endlich alles sicher und Deine Schei... SSH posaunt mal eben Dein Betriebssystem samt Version in die Welt hinaus. GEIL! Wenn Dein System sicher ist[1], dann ist es völlig egal, ob der Angreifer die Version Deiner Software kennt. Und sich dann hinstellen und aller Welt erzählen wie sicher Linux ist. Ihr seid echt die Könige. Bla. J. [1] Im Sinne von nicht gegen bekannte Exploits anfällig -- Television advertisements are the apothesis of twentieth century culture. [Agree] [Disagree] http://www.slowlydownward.com/NODATA/data_enter2.html signature.asc Description: Digital signature
Re: Frage zur SSH Kennung
Am 2005-07-06 22:55:17, schrieb Thomas Nolte: * Joerg Zimmermann schrieb: Mir ist an dieser Stelle kein Schalter in der config bekannt, mit dem sich das unterdrücken lässt. Wie gesagt, selber kompilieren dürfte wohl die einzige Lösung sein. | SSHD_CONFIG(5) [...] | VersionAddendum | Specifies a string to append to the regular version string | to identify OS- or site-specific modifications. The default | is ``FreeBSD-20030924''. Der Default sieht bei Euch offenbar anders aus ;) Was es aber in der Version von OpenSSH in Debian nicht gibt. In der von OpenBSD und auch NetBSD steht es drin. Sprich, Debian hat es weggepatched. Gruß, Thomas Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Frage zur SSH Kennung
Andreas Pakulat schrieb: Sollte man nicht, um sich gegen ernsthafte Angreifer zu wehren, ein sichereres OS einsetzen als Linux? z.B. OpenBSD? ;-) Oder eben einfach das Netzkabel mit dem Bolzenschneider bearbeiten. Und *ja*, ich meine das Stromkabel. Wenn man SSH nicht ausschalten kann und einem Public-Key Sicherheit inkl. Root-Deny nicht ausreicht, sollte man sich einen Server mit *direktem* Zugang besorgen oder mal seinen Arzt über Paranoia befragen... Wenn einer will, dann kommt* er rein, egal, wieviel man in Sicherheit investiert... Andreas MfG Jan -- OpenPGP Public-Key Fingerprint: 0E9B 4052 C661 5018 93C3 4E46 651A 7A28 4028 FF7A pgp5tOlB4tybS.pgp Description: PGP signature
Re: Frage zur SSH Kennung
Andreas Pakulat wrote: On 06.Jul 2005 - 23:10:13, Joerg Zimmermann wrote: Es gibt aber auch ernsthaftere Angreifer. Die suchen sich Ihre Exploits sehr gewissenhaft aus. Wenn ich mich gegen diese Art von Angreifern wehren will/muss habe ich alle Hände voll zu tun. Und wenn ich mich dann auch noch um so überflüssige Informationslücken kümmern muss, dann finde ich das ärgerlich. Sollte man nicht, um sich gegen ernsthafte Angreifer zu wehren, ein sichereres OS einsetzen als Linux? z.B. OpenBSD? ;-) Das sollte man und macht es auch. Das bedeutet doch aber nicht, das es bei Linux egal ist. Ich will schon auch eine Debian einsetzen können. Das Ganze ist jetzt kein Grund es nicht zu tun, aber die Summe von Nachlässigkeiten macht im Bezug auf Sicherheit die Probleme. Das ist schade, und liesse sich vermeiden. Mehr wollte ich damit nicht sagen. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Am 2005-07-06 23:36:41, schrieb Andreas Pakulat: On 06.Jul 2005 - 23:10:13, Joerg Zimmermann wrote: Es gibt aber auch ernsthaftere Angreifer. Die suchen sich Ihre Exploits sehr gewissenhaft aus. Wenn ich mich gegen diese Art von Angreifern wehren will/muss habe ich alle Hände voll zu tun. Und wenn ich mich dann auch noch um so überflüssige Informationslücken kümmern muss, dann finde ich das ärgerlich. Sollte man nicht, um sich gegen ernsthafte Angreifer zu wehren, ein sichereres OS einsetzen als Linux? z.B. OpenBSD? ;-) Neee, Windows XP oder 2003 Ein Befehl und es macht dicht. :-) Wird vollständig inaccessibel. Selbst local. :-D Es macht einfach Spaß, die Kisten zu kicken. Bei eBay hat man übrigends die image-Server auch kicken können, waren alles IIS v4 und v5. Andreas Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Frage zur SSH Kennung
Rehi, On Wed, 6 Jul 2005, Joerg Zimmermann wrote: was fuer einen Zeichensatz verwendest Du eigendlich? Content-Type: TEXT/PLAIN; charset=X-UNKNOWN sigh. Ich weiss, ich weiss. Muss mal auf dem Rechner hier was zeitgemaesses kleines nachinstallieren, das pine hier unter solaris is ugly as hell. On Wed, 6 Jul 2005, Joerg Zimmermann wrote: Security by obscurity bringt da naemlich nicht viel mehr ausser mehr Arbeit fuer Dich mit wahrscheinlich weniger Nutzen fuer die User. Port Knocking ist 'Security by obscurity'. in gewisser weise ja. ist halt ein zus. passwort (die knock-sequenz) ... Wobei ich das jetzt nicht grundsaetzlich fuer eine schlechte Idee halte. Nur ist das eben eine weitere Stufe Sicherheit. ... auf einer tieferen Stufe. Nur weil mein Auto Airbags hat, verzichte ich ja auch nicht auf meine Bremsen. Wie gesagt geht's bei Debian auch drum, upstream und den Usern rel. gute Informationen fuer bug-reports zu geben und die Systeme bedienbar zu lassen. Wie soll man das denn Deiner Meinung nach tun? Da musst Du schon Gegenvorschlaege bringen, nur meckern geht da nicht ... Klar, wenn Du ein sicheres System willst, nimmst Du kein Debian von der Stange, da musst Du schon Hand anlegen. Aber das steht auf einem anderen Blatt. Ich will das Zeugs ja gar nicht selber kompilieren. Wenn ich das mit jedem Server machen wuerde, das koennte ja keiner mehr bezahlen, schon alleine dioe ganzen Patches .. unrealistisch eben. Dafuer wiederum haettest Du bei Debian apt-get ;) Es faellt mir an dieser Stelle jedoch nichts anderes ein, wie obige Meldung zu unterdruecken waere. -- Jens -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Am Mittwoch, 6. Juli 2005 22:31 schrieb Joerg Zimmermann: Markus Schulz wrote: Am Mittwoch, 6. Juli 2005 21:20 schrieb Joerg Zimmermann: Markus Schulz wrote: Am Mittwoch, 6. Juli 2005 18:08 schrieb Andreas Pakulat: On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote: bekommt man Daten, die mir nicht wirklich gefallen. Wieso? Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? security thru obscurity So ein Unfug. ähm? Ich zitiere mal aus deinem anderem Posting: Vielleicht dass ein potenzieller Angreifer nicht alle relevanten Informationen frei Haus geliefert bekommt. Und wieso gehört das nicht zu: security thru obscurity? Es sagt ja keiner das das der einzige Schutz ist, aber eben eine zusätzliche Maßnahme. 'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir mal 737 machst, oder deine /etc/passwd in /usr/lib/geheimepasswoerter umbennenst. Es ist nichts obscures daran, einem potenziellen Angreifer keine unnötigen Informationen zu liefern. doch, exakt das ist Security thru obscurity. Man bewahrt/versteckt soviel Informationen wie möglich. Und genau das beschreibt obscurity - Dunkelheit/Unklarheit. Genau genommen, ist genau das einer wichtigsten Grundsätze zur Sicherheit in IT-Systemen. Empfehlenswerte Lektüre dazu, 'Securing-Debian-Handbuch' (http://www.debian.de/doc/manuals/securing-debian-howto/index.de.html ). http://en.wikipedia.org/wiki/Security_through_obscurity -- Markus Schulz Heute glaubt anscheinend jeder, Programme seien Geister, die in kleinen Totems wohnen und durch zweimaliges Berühren mit dem Mausfetisch beschworen werden. Daher vermutlich das Unvermögen, ein Programm zu starten, wenn das Totem verlorengegangen ist. (Thorsten Lange in d.a.s.r.)
Re: Frage zur SSH Kennung
On 06.Jul 2005 - 23:36:54, Joerg Zimmermann wrote: Hi, was für einen Zeichensatz verwendest Du eigendlich? Content-Type: TEXT/PLAIN; charset=X-UNKNOWN ?? Ich fuerchte das Problem ist dein enigmail, das nicht mit der Signatur umgehen kann. Jedenfalls ist die Mail von Michelle vollkommen korrekt in latin1 kodiert. Allerdings sagt der Content-Type der Mail ebend (IIRC) dass es eine Inline/pgp Mail ist, was dein Enigmail wohl nicht versteht... Grade das mal Up ;-) Andreas -- You have Egyptian flu: you're going to be a mummy. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Ahoi, Am Mittwoch 06 Juli 2005 22:31 schrieb Joerg Zimmermann: 'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir mal 737 machst, oder deine /etc/passwd in /usr/lib/geheimepasswoerter umbennenst. klingt trotzdem negativ. Ich finde es ist schon von Vorteil,wenn mein SSH Port so obscure ist, dass er nicht beim massenhaften Scan von IP-Blöcken auf Port 22 gefunden wird. Gruß, Florian pgp7NDw9rDsso.pgp Description: PGP signature
Re: Frage zur SSH Kennung
* Michelle Konzack schrieb: Schon mal was von nmap gehört ? Das braucht keine 3 Sekunden um das OS herauszufinden [FreeBSD Kernel-Konfiguration] | # TCP_DROP_SYNFIN adds support for ignoring TCP packets with SYN+FIN. | # This prevents nmap from identifying the TCP/IP stack, but breaks | # support for RFC1644 extensions and is not recommended for web | # servers. | # | options TCP_DROP_SYNFIN Gruß, Thomas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Am Mittwoch 06 Juli 2005 17:42 schrieb Mathias Tauber: Servus mal wieder, mir ist folgendes aufgefallen: Ruft man das hier auf (Sarge System), xxx:~# telnet xxx 22 Trying xxx.xxx.xxx.xxx... Connected to xxx. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 bekommt man Daten, die mir nicht wirklich gefallen. Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was haltet ihr davon? Grüße Mathias Also intressanterweise Sid (experimental) meldet nur noch powerrechner:/mnt# telnet 10.4.1.20 22 Trying 10.4.1.20... Connected to 10.4.1.20. Escape character is '^]'. SSH-2.0-OpenSSH_4.1p1 sid normal Trying 10.4.1.10... Connected to 10.4.1.10. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 auf einem anderen sid bekomme ich auch nur noch SSH-2.0-OpenSSH_4.1p1 Also scheint in der letzten Zeit ein openssh packet einzutreffen das schweigsamer ist. Gruß Ryven
Re: Frage zur SSH Kennung
* Joerg Zimmermann schrieb: Nö, zeigt er nicht. Zeig doch mal. Meiner (3.6) zeigt: SSH-2.0-OpenSSH_3.9 Da steht nix von OpenBSD. Und ich wette, auch der 3.5'er zeigt Dir das nicht. Logisch. Das liegt daran, daß OpenBSD selbstverständlich nicht die portable OpenSSH-Version verwendet. Gruß, Thomas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)