TOP
SSV Software Systems Register  Register
Log in to check your private messages  Log in to check your private messages
Startseite FAQ Search Mitglieder Profile  Log in 
SSV Support-Forum
DNP/2486 sicher ins Internet stellen

 
Post new topic   Reply to topic    SSV-Forum Forum Index >>> DNP/2486
<<< Previous topic - Next topic >>>  
Display posts from previous:   
Author Message
hne



Joined: 11 Jul 2008
Posts: 210
Location: Hannover
PostPosted: 19.03.2010, 15:56    Post subject: DNP/2486 sicher ins Internet stellen Reply with quote
Wenn man ein Embedded System im Internet zugänglich macht, sollte man das System schützen. Es reicht hierbei nicht aus, sich darauf zu verlassen, dass man SSH benutzt, und dieses als sicher gilt.


  1. Passwort für Benutzer "root" setzen
    Code:
    passwd

    Dann zwei mal ein gutes Passwort eingeben.
    Sie wissen kein gutes Passwort? Dann geben Sie an der Linux Console das ein:
    Code:
    openssl rand -base64 12

  2. Passwort für Benutzer "user" setzen
    Code:
    passwd user

    Dann zwei mal das neue Passwort eingeben.
  3. Datei /etc/ssh/sshd_config bearbeiten

    1. Einloggen als "root" verhindern:
      Den Eintrag "PermitRootLogin yes" auf "PermitRootLogin no" ändern
    2. Ganz sicher wird es, wenn man nicht mit Paßwörtern, sondern mit öffentlichen und privaten Schlüsseln arbeitet (public and private keys).
      Dazu bitte zuerst auf dem eigenen Rechner ein Schlüsselpaar erstellen, auf den DIL/NetPC hoch laden und ausprobieren. Der öffentliche Schlüssel steht meist in der Datei id_rsa.pub und muß auf dem DIL/NetPC als Datei /home/user/authorized_keys abgelegt werden. Wenn die Datei schon existiert, dann den neuen Schlüssel bitte anhängen.
      Jetzt das Einloggen ohne Passwort vom eigenen PC testen:
      Code:
      ssh user@192.168.0.126

      Erst wenn der Zugriff ohne Passwort möglich ist, die folgende Änderung in der sshd_config machen!
      Den Eintrag "#PasswordAuthentication yes" auf "PasswordAuthentication no" ändern. Dabei das Kommentarzeichen am Anfang der Zeile entfernen.
      Siehe auch www.schlittermann.de/doc/ssh
    3. Um die Anzahl der Angriffe zu veringern, kann man den Port 22 auf einen beliebigen andern Port zwischen 2000 und 65000 verstecken. Der Port sollte nicht in der Liste der bekannten Dienste (/etc/services) stehen.
    4. SSH neu starten bzw. die Config neu lesen lassen:
      Code:
      /etc/init.d/ssh reload

    5. Testweise von einem anderen Rechner versuchen, sich als "user" anzumelden.
      Wurde "PasswordAuthentication no" eingestellt, dann erscheint keine Passwortabfrage und die Verbindung wird getrennt. Auf jeden Fall sollte das Einloggen als Benutzer "root" nicht mehr möglich sein.

  4. Aktivieren Sie die Firewall und lassen sie nur sichere Dienste durch, also ssh und webserver (http/https). Testen Sie, daß man vom Internet aus nicht per Telnet (Port 23) oder FTP (Port 20) auf das Gerät kommt.

_________________
Henry Nestler
Back to top
View user's profile Send private message Visit poster's website
Display posts from previous:   
Post new topic   Reply to topic    SSV-Forum Forum Index >>> DNP/2486 All times are GMT + 1 Hour
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum

SSV Software Systems GmbH

Dünenweg 5
30419 Hannover

Fon: +49(0)511  ·  40 000-0
Fax: +49(0)511  ·  40 000-40

sales@ssv-embedded.de


Impressum    ·    Datenschutz    ·    AGB

© 2023 SSV SOFTWARE SYSTEMS GmbH. Alle Rechte vorbehalten.

ISO 9001:2015