Hallo zusammen,
gibt es dazu Erfahrungen? Scheint ja eine recht gute Möglichkeit zu sein den SSH zu verstecken
SW
Hallo zusammen,
gibt es dazu Erfahrungen? Scheint ja eine recht gute Möglichkeit zu sein den SSH zu verstecken
SW
Ich nutze knock schon eine ganze Weile (für Verbindungen außerhalb des eigenen VPN) und bin sehr zufrieden damit, man kann sich fail2ban und/oder willkürliche Nichtstandardportauswahlen für die entsprechenden Dienste sparen. Wie bei allen Schlüsselsequenzen sollte man ggf. eine regelmäßige Änderung vorsehen.
Und wie nutze ich das dann per ssh-Client?
Und wie nutze ich das dann per ssh-Client?
Zeitnah vor der Ausführung von ssh […] [remoteuser:]remotehost […] ist einfach jeweils knock remotehost […] aufzurufen ([…]-Vorgaben lassen sich in den jeweiligen Konfigurationsdateien hinterlegen, also /etc/ssh/ssh_config bzw. ~/.ssh/config und /etc/knockd.conf).
Leider ist es meines Wissens bislang nicht direkt möglich, einen hook für ssh zu definieren, welcher automatisch für den Aufruf sorgt, wenn bestimmte Hosts kontaktiert werden. Man kann sich aber ein ssh-Wrapper-Skript erstellen, welches mittels PATH-Initialisierung oder /etc/alternatives/ssh aufgerufen wird und dies leistet.
Tipp: Insbesondere, wenn man UDP-(Teil-)Sequenzen zur Portöffnung für die anklopfende IP-Adresse verwendet und/oder das Timeout etwas knapp gewählt ist, kann natürlich auch einmal ein Paket verloren gehen, wodurch die Sequenz nicht erkannt wird; hier schadet wiederholtes Anklopfen nicht.
Zeitnah vor der Ausführung von ssh […] [remoteuser:]remotehost […] ist einfach jeweils knock remotehost […] aufzurufen
Was auf meinem Windowsrechner, von dem aus ich mich per Bitvise-ssh-Client immer mit meinen Servern verbinde aber wohl von Haus aus nicht so einfach gehen wird.
Was auf meinem Windowsrechner, von dem aus ich mich per Bitvise-ssh-Client immer mit meinen Servern verbinde aber wohl von Haus aus nicht so einfach gehen wird.
Laut Anleitung können BvSsh alle erforderlichen Parameter übergeben werden, um (direkt) einen bestimmten Host zu kontaktieren. Erstellt man eine Verknüpfung zu einem host-spezifischen Batch-Script, kann in die Zeile davor einfach der erforderliche knock-Aufruf. Eine Host-Auswahl per Menü ist auf diese Weise allerdings eher schwierig. (Aber es gilt ja „no pain, no gain“ )
aRaphael: evtl. hilft das https://www.epinox.de/de/windows/port-knocking-tool.html
Laut Anleitung können BvSsh alle erforderlichen Parameter übergeben werden, um (direkt) einen bestimmten Host zu kontaktieren. Erstellt man eine Verknüpfung zu einem host-spezifischen Batch-Script, kann in die Zeile davor einfach der erforderliche knock-Aufruf. Eine Host-Auswahl per Menü ist auf diese Weise allerdings eher schwierig. (Aber es gilt ja „no pain, no gain“ )
Na das mit dem Skript und dass es keine Menüauswahl gibt hatte ich auch nicht als Hürde angesehen , sondern dass ich ja erstmal irgendwie ein "knock" auch auf Windows ausführen kann.
Na das mit dem Skript und dass es keine Menüauswahl gibt hatte ich auch nicht als Hürde angesehen , sondern dass ich ja erstmal irgendwie ein "knock" auch auf Windows ausführen kann.
Im WSL sollte eigentlich auch das funktionieren (wenn man kein Windows-Pendant verwendet), da iptables die Windows-Firewall ansteuern kann.
Vielleicht testet das ja mal jemand und gibt hier Rückmeldung? Das von Ganzjahresgriller empfohlene Windows-Programm ist aber wohl der einfachere Weg.