OpenSSH-Client härten oder nicht (MX Linux 23.2)?

Hallo zusammen,

(Tut mir leid wenn mein Deutsch ein wenig seltsam wirkt, Ich bin kein Deutscher.)

Bei mein MX Linux 23.2 minimal (Laptop, Home use) ist openssh-client installiert. Ich brauche kein SSH, deswegen habe Ich versucht openssh-client mit Synaptic Package Manager zu entfernen. Dabei wird immer, auch wenn Ich es mit apt purge versuche, openssh-server installiert.

Wenn Ich

ssh

eingebe im Terminal, kann Ich sehen:

usage: ssh [-1234Axxxxxxx] [-b bind_address] [-c cipher_spec]
           [-D [bind_address:]port] [-e escape_char] [-F configfile]
           [-I pkcs11] [-i identity_file]
           [-L [bind_address:]port:host:hostport]
           [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
           [-R [bind_address:]port:host:hostport] [-S ctl_path]
           [-W host:port] [-w local_tun[:remote_tun]]
           [user@]hostname [command]

und

sudo netstat -an | grep LISTEN
[...]
unix 2    [ ACC ]    STREAM    LISTENING   23460   /tmp/shh-XXXXXW3nP2N/agent.2029
[...]

Heisst es damit ssh lauft und muss openssh-client abgehärtet (etc/ssh/ssh_config) werden?

Aufs Internet gibt es unterschiedliche Empfehlungen bis zum für ein openssh-client alleine gibt es keine Sicherheitsproblemen, wenn openssh-server nicht gleichzeitig installiert ist.

Danke!

Der Ausschnitt sagt, dass ein SSH-Programm läuft, welches einen Unix-Socket nutzt. Soweit ich das sehe, gibt es keine Server-Software, die aus dem Internet erreichbar ist. Du könntest bei deinem grep-Befehl das LISTEN durch :22 ersetzen und schauen, ob es da eine Ausgabe gibt.

Der SSH-Client ist vergleichbar mit deinem Browser oder Mailprogramm. Diese bieten im Normalfall auch keine Dienste nach außen und dienen nur dazu, Informationen abzurufen. So ist es auch mit dem SSH-Client.

Daher musst du auch nichts abhärten. Erst wenn du SSH nutzen willst, könntest du dir Gedanken machen, ob dir die Standardeinstellungen reichen oder ob du bestimmte Anforderungen an den Server stellen willst. Dann könntest du deine Client-Konfiguration anpassen. Aber ausgehend von deiner Frage würde ich dort nichts weiter machen.

3 „Gefällt mir“

Da läuft ein SSH-Agent, der auf einem Unix-Socket lauscht. Der ist da, damit du dich mit einem SSH-Schlüssel auf anderen Computern anmelden kannst und gehört zum openssh-client.

Bei dir läuft kein Server und somit gibt es auch nichts zu härten.

2 „Gefällt mir“

Danach kommt gar nichts.

Vielen Dank für die Antworten qbi und bamf. Bin Ich wieder einen Schritt weiter. :slight_smile: