CentOS/RHEL5 - Minimale installatie voor SSH Gateway

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • chronoz
  • Registratie: Maart 2010
  • Laatst online: 09-10-2022
Op mijn ESXi server ben ik van plan enkele Linux-hosts te gaan draaien en ik wil net zoals vroeger, hiervoor gebruik gaan maken van een SSH Gateway Server.

Alle poorten worden dus structureel gesloten en de enige server die bij SSH kan komen van de servers is de SSH gateway server. Ik overwoog om dns2 hiervoor te gebruiken, maar het lijkt me cruciaal om een dergelijke server goed dicht te spijkeren, zeker gezien ik met private/public key pairs overweeg werken. Dat houdt in dat de private key op mijn computer een wachtwoord bevat, maar de private key op de ssh-server is wachtwoordloos. Je kunt dus vanaf de SSH gateway server op elke server inloggen zonder wachtwoord in te voeren.

Hiervoor heb ik eigenlijk alleen SSH nodig en dien ik mijn packages van tijd tot tijd te kunnen updaten. Alle poorten, behalve een alternatieve 22 poort dienen hiervoor ook gesloten te zijn.

Wat vinden jullie trouwens van de overweging om OpenBSD te kiezen in plaats van CentOS voor de SSH Gateway? Het voordeel hiervan is de betere veiligheid, maar het nadeel is dat ik weer een hele hoop documentatie moet gaan lezen.

Het instellen van het netwerk, de firewall-regels en het updaten van het systeem heeft me al twee volle uren gekost. Gezien ik echt alleen SSH nodig heb, zijn voor de rest alle services totaal onnodig. Dus het gaat hier om maximale veiligheid.

Veiligheidsmaatregelen:
- SSH via alternatieve poort
- Automatische SSH-ban na 5 login failures
- Inloggen via eigen username en niet via root (toch maar ssh nodig).
- Installatie CSF pro-actieve firewall voor het sluiten van alle poorten behalve SSH.

Ik zou graag laten zien welke packages en services er geinstalleerd staan, maar helaas is de lijst echt veel te lang om te posten op het forum.
rpm -qa - http://paste.voip.vg/view/46816132
netstat -aen - http://paste.voip.vg/view/19350179

Indien jullie wat meer kunnen vertellen over jullie oplossing, dan hoor ik dat graag.

Acties:
  • 0 Henk 'm!

  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 07:09

CAPSLOCK2000

zie teletekst pagina 888

chronoz schreef op vrijdag 14 mei 2010 @ 12:08:
Alle poorten worden dus structureel gesloten en de enige server die bij SSH kan komen van de servers is de SSH gateway server. Ik overwoog om dns2 hiervoor te gebruiken, maar het lijkt me cruciaal om een dergelijke server goed dicht te spijkeren, zeker gezien ik met private/public key pairs overweeg werken. Dat houdt in dat de private key op mijn computer een wachtwoord bevat, maar de private key op de ssh-server is wachtwoordloos. Je kunt dus vanaf de SSH gateway server op elke server inloggen zonder wachtwoord in te voeren.
Neem aub keys met wachtwoord.Er is geen goede reden om keys zonder wachtwoord te nemen. Als je opziet tegen iedere keer je wachtwoord opnieuw intikken moet je even naar ssh-agent kijken.
Wat vinden jullie trouwens van de overweging om OpenBSD te kiezen in plaats van CentOS voor de SSH Gateway? Het voordeel hiervan is de betere veiligheid, maar het nadeel is dat ik weer een hele hoop documentatie moet gaan lezen.
Slecht plan. De veiligheid van een systeem wordt in de eerste plaats bepaald door de beheerder. Een systeem gebruiken dat je niet kent is niet veilig, zelfs als het OpenBSD is.

This post is warranted for the full amount you paid me for it.


Acties:
  • 0 Henk 'm!

Verwijderd

Verder is OpenBSD een niet door VMware ondersteund OS en Red Hat is dat wel.

Zie: http://www.vmware.com/tec.../advantages/guest-os.html