SSH mit 2FA (OTP)

  • Hi Zusammen,


    da man ja eigentlich mittlerweile alle wichtigen Zugänge mit 2FA absichert würde ich mich dafür interessieren von jemand von euch sowas schon für SSH im Betrieb hat. Ich habe bisschen geschaut und gesehen das es verschiende Lösungen gibt gängige OTP Anbieter auch in SSH verfügbar zu machen. Vom Prinzig her fände ich das glaub schon sinnvoll oder gibt es dazu andere Meinungen ?


    Ich freue mich auf euer Feedback.


    VG


    viper

    i-MSCP 1.4.6 Build: 20170616 Debian Stretch 9 / PHP 5.6 FPM (I-MSCP Installer)

  • Ja 2FA ist eine gute Sache, aber man kann es mit der Sicherheit auch übertreiben.

    Man sollte immer abschätzen was für Kunden auf dem System betrieben wedren. Davon macht man es abhängig ob so etwas überhaupt benötigt wird.

    Wenn Du auf Deinem System nur simple Webkunden hast ist 2FA mit Kanonen auf Spatzen geschossen.

    Ändere das SSH Port, Richte Fail2Ban ordentlich ein und schon ist Dein Server auch sicher.

    Just my 2 Cent

  • Meiner Meinung nach reicht bei SSH folgendes:

    1.) Root-Login nur mit SSH-Key (Kein Passwort)

    1.1.) Kann man bei Jailshell auch entsprechend so einrichten

    1.2.) Der SSH-Schlüssel sollte natürlich mit einem genügend sicheren Passwort geschützt sein.

    2.) Wenn man alleinig per SSH verbindet, die Firewall entsprechend geschlossen und nur für einzelne IP-Adressen offen

    3.) Wenn man einen Firewall-Cluster mit Bruteforce Detection haben möchte, Absicherung mit CSF: https://configserver.com/cp/csf.html

    3.1.) Mit ein wenig Arbeit funktionieren auch die Tracking-Regeln von I-MSCP


    Den Standard-Port zu ändern halte ich persönlich für wenig hilfreich/sinnlos, da es bei einem Portscan trotzdem auffällt und leicht auffindbar ist. Verschleierung hat in der IT noch nie geholfen. Ausserdem, wenn Kunden über SSH Zugriff haben sollen, sorgt ein abweichender Port meist für zusätzliche Probleme.