und ssh verbindung mit passwort verbietenDa hast Du doch schon mal einen bunten Blumenstrauß an Maßnahmen.
Root Login über SSH verbieten.
Hey,Reicht das schon...?
Was meinst du mit "LAN-Kabel ziehen"?Hey,
es wird kein "das reicht" geben. Damit hast du ja schon mal eine gute Grundlage. Aber du musst schauen was auf deinem Server alles läuft und wie kannst du es weiter absichern. Es gibt sicher noch weitere Möglichkeiten: Alle Verbindungen verschlüsseln (FTP, Http, usw). Bestimmte Passwortstärke, Firewall, LAN-Kabel ziehen
Kommt auch drauf an, was alles auf deinem Server gemacht wird. Wer hat alles Zugriff...
Das war ironisch gemeintWas meinst du mit "LAN-Kabel ziehen"?
Bringt eigentlich nur etwas gegen sehr stupid geschriebene Bots oder IDS Scans, durch Parallelisierung und dickere Bandbreiten ist es aber heut kein Problem mehr das ganze IPvLegacy (IPv4) Internet (ja das GANZE) innerhalb ein paar Stunden nach ein paar Ports zu durchpflügen und ggf. sogar alle Ports zu scannen (das hat ZMAP schon 2013 locker gemacht). Insofern rate ich von Maßnahmen, die lediglich Security through Obscurity (wir verstecken was und hoffen dass niemand zu genau hinsieht) sind eher ab.SSH Port ändern/absichern
/usr/bin/ip64tables
#!/bin/bash
# iptables-Weiche
LINE=$*
RESULT=`echo $LINE | egrep " ([0-9]{1,3}\.){3}[0-9]{1,3}" | wc -l`
RESULT6=`echo $LINE | egrep "(::[A-Fa-f0-9])|((:[A-Fa-f0-9]{1,4}){2,})" | wc -l `
if [ $RESULT -eq "1" ]; then
# IPv4
iptables $LINE
ERRCODE=$?
elif [ $RESULT6 -eq "1" ]; then
# IPv6
ip6tables $LINE
ERRCODE=$?
else
# IPv4 und IPv6
iptables $LINE
ERRCODE=$?
ip6tables $LINE
if [ $? -ge "1" ]; then
ERRCODE=$?
fi
fi
exit $ERRCODE
root@meinserver~# chmod +x /usr/bin/ip64tables
Wegen mir kann ein /0 Anklopfen... Wenn es keine Passwortauthentifizierung gibt, was soll passieren?auch wenn das ganze recht alt ist...
ich hab fail2ban so koniguriert, dass 1 falscher Loginversuch über ssh erlaubt ist, danach wird die IP für 1 jahr gesperrt.
In diesem Falle sollte man seinen eigenen Login natürlich definitiv kennen
Man kann also mit fail2ban auch spielen und nicht nur diese pauschalen 10min Block machen. Ich hatte schon Fälle, bei denen ein ganzes /23 bei mir angeklopft hat. Die Notifications daraus waren etwas nervig - seither Blocke ich immer direkt längerfristig
Wir verwenden essentielle Cookies, damit diese Website funktioniert, und optionale Cookies, um den Komfort bei der Nutzung zu verbessern.
Siehe weitere Informationen und konfiguriere deine Einstellungen