Server administrieren - wo fange ich an?

Andi22 · 24. September 2023

Zitat von Bud
Da über die letzten Wochen oder teilweise gar Monate meine fail2ban´s auf 6 Servern nichts gebannt haben, bin ich ein bisschen misstrauisch geworden. Oder habe ich einfach nur Glück?

Auf jeden Fall wollte ich es an einem Server selbst testen, und habe einfach mal bei folgenden Regeln fünfmal telnet IP Port versucht.
Code
[DEFAULT]
bantime = 24h
findtime = 10m
maxretry = 3

[sshd]
enabled = true
backend = systemd

[recidive]
enabled = true
Alles anzeigen

Hattest Du nicht Deinen SSH-Port geändert?

Dann kann es Monate dauern bis die Deinen Server finden und Login-Versuche starten.

fail2ban bannt ja nur dann, wenn es Angriffe gab. Das kannst Du selbst auch checken indem Du in die Logs schaust:

Code

journalctl -u ssh

# oder falls vorhanden

more /var/log/auth.log

Wenn Du einen Angriff simulieren willst, kannst Du versuchen dich mit SSH, einem nicht vorhandenen Benutzer und/oder falschen Passwort anzumelden. Nicht vergessen Deinen Port mit anzugeben:

Code

ssh -p 12345 wronguser@server

Kannst das ja von einem Deiner anderen Server aus machen, statt von Deiner IP daheim. Dann kannst Du Dich immer noch einloggen.

Vergiss folgenden Satz. Du hattest es ja 5 mal versucht: Außerdem reicht ein Versuch nicht aus. Du musst den Login mehrfach versuchen, oder maxretry auf 1 setzen.

Außerdem solltest Du noch

Code

[sshd]
port    = 12345 #was-auch-immer-dein-port-ist

hinzufügen.

RAD750 · 24. September 2023

pasted-from-clipboard.png

So sieht das bei einem nagelneuen Server aus den ich am Donnerstag ausgerollt habe

Olivetti · 25. September 2023

Zitat von Olivetti

- munin. …

+ munin: …

Ich hab's mal merge-requested.

status update:

Zitat

thanks, merged, will be included in the next upload.

Bud · 25. September 2023

Zitat von tab

Welches OS und welche Version hast du installiert?

Als OS läuft Debian 12

Zitat von tab

Wird da ins Journal geloggt oder hast du noch "klassische" Logfiles?

Laut fail2ban.conf wird nach /var/log/fail2ban.log geloggt.

Zitat von tab

Das "backend = systemd" überwacht das Journal und nicht die auth.log soweit ich weiss.

Was genau bedeutet das? Ich habe leider erst nach dem Hinzufügen von backend = systemd angefangen, meine eigene Doku zu schreiben. Alles, was ich noch weiß ist, dass fail2ban nicht lief, und nach langer Suche das die Lösung war.

Zitat von tab

Ausserdem, ich glaube nicht, dass ein einfaches telnet auf den SSH Port schon reicht, oder hast du auch ein falsches Passwort eingegeben?

Ah okay. Ja, da war ich mir nicht sicher. Dann werde ich mal schauen wie ich fail2ban testen kann, bzw. wie ich meinen Server selbst "angreifen" kann. Dachte das könnte reichen.

Zitat von tab

Dass allerdings auf 6 Servern monatelang gar nichts gebannt wird deutet schon darauf hin, dass eventuell was schief läuft. Andererseits, viele "Angreifer" sind vorsichtig geworden und benutzen Botnetze anstatt einfach brute force Zugangsdaten auszuprobieren mit ein und derselben IP. Teilweise probieren sie es nur zweimal mit der selben IP oder mit längeren Zeitabständen. Was sagt die fail2ban.log? Wurden Versuche erkannt? Existiert sie überhaupt?

Die log an sich existiert, allerdings sieht man halt nur das fail2ban gestartet wurde und mit welcher config. Oder der klassische rollover Kommentar.

Zitat von Andi22

Hattest Du nicht Deinen SSH-Port geändert?

Richtig. Und 22 ist auch zu (ufw).

Zitat von Andi22

fail2ban bannt ja nur dann, wenn es Angriffe gab. Das kannst Du selbst auch checken indem Du in die Logs schaust

Ich kann die log teilweise nicht lesen, bzw. bin mir nicht sicher, ob das Angriffe waren. Hier mal ein Ausschnitt von tauri:

Spoiler anzeigen

Man sieht ein paar Versuche, sich zu verbinden. Oder habe ich das falsch interpretiert? Kann ich fail2ban beibringen, Versuche, welche auf von ufw geschlossene Ports stattfinden, beim ersten Versuch zu bannen?

Zitat von Andi22
Wenn Du einen Angriff simulieren willst, kannst Du versuchen dich mit SSH, einem nicht vorhandenen Benutzer und/oder falschen Passwort anzumelden. Nicht vergessen Deinen Port mit anzugeben:
Code
ssh -p 12345 wronguser@server
Kannst das ja von einem Deiner anderen Server aus machen, statt von Deiner IP daheim. Dann kannst Du Dich immer noch einloggen.

Ich hab es jetzt mal wie folgt versucht:

Code

bud@langara:~$ ssh -p 12345 wronguser@89.58.*.*
The authenticity of host '[89.58.*.*]:12345 ([89.58.*.*]:12345)' can't be established.
ED25519 key fingerprint is SHA256:NetcupForum<3
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '[89.58.*.*]:12345' (ED25519) to the list of known hosts.
wronguser@89.58.*.*: Permission denied (publickey).
bud@langara:~$ ssh -p 12345 wronguser@89.58.*.*
wronguser@89.58.*.*: Permission denied (publickey).
bud@langara:~$ ssh -p 12345 wronguser@89.58.*.*
wronguser@89.58.*.*: Permission denied (publickey).
bud@langara:~$ ssh -p 12345 wronguser@89.58.*.*
wronguser@89.58.*.*: Permission denied (publickey).
bud@langara:~$ ssh -p 12345 wronguser@89.58.*.*
wronguser@89.58.*.*: Permission denied (publickey).
bud@langara:~$ ssh -p 12345 wronguser@89.58.*.*
wronguser@89.58.*.*: Permission denied (publickey).
bud@langara:~$ ssh -p 12345 wronguser@89.58.*.*
wronguser@89.58.*.*: Permission denied (publickey).
bud@langara:~$ ssh -p 12345 wronguser@89.58.*.*
wronguser@89.58.*.*: Permission denied (publickey).
bud@langara:~$ ssh -p 12345 wronguser@89.58.*.*
wronguser@89.58.*.*: Permission denied (publickey).
bud@langara:~$ ssh -p 12345 wronguser@89.58.*.*
wronguser@89.58.*.*: Permission denied (publickey).

Alles anzeigen

Und dann natürlich nochmal in die /var/log/fail2ban.log von tauri geschaut:

Code: /var/log/fail2ban.log

2023-09-24 00:00:28,304 fail2ban.server         [1775]: INFO    rollover performed on /var/log/fail2ban.log
2023-09-25 12:26:29,862 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:29
2023-09-25 12:26:39,343 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:38
2023-09-25 12:26:40,843 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:40
2023-09-25 12:26:41,200 fail2ban.actions        [1775]: NOTICE  [sshd] Ban 5.181.*.* 
2023-09-25 12:26:41,202 fail2ban.filter         [1775]: INFO    [recidive] Found 5.181.*.* - 2023-09-25 12:26:41
2023-09-25 12:26:42,094 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:41
2023-09-25 12:26:43,343 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:42
2023-09-25 12:26:44,093 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:43
2023-09-25 12:26:44,482 fail2ban.actions        [1775]: NOTICE  [sshd] 5.181.*.* already banned
2023-09-25 12:26:45,093 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:44
2023-09-25 12:26:45,843 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:45
2023-09-25 12:26:46,843 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:46
2023-09-25 12:26:47,098 fail2ban.actions        [1775]: NOTICE  [sshd] 5.181.*.* already banned
2023-09-25 12:26:47,843 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:47
2023-09-25 12:26:48,593 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:48
2023-09-25 12:26:49,593 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:49
2023-09-25 12:26:49,700 fail2ban.actions        [1775]: NOTICE  [sshd] 5.181.*.* already banned
2023-09-25 12:26:50,344 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:50
2023-09-25 12:26:51,593 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:51
2023-09-25 12:26:52,343 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:51
2023-09-25 12:26:52,916 fail2ban.actions        [1775]: NOTICE  [sshd] 5.181.*.* already banned
2023-09-25 12:26:53,094 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:52
2023-09-25 12:26:54,093 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:53
2023-09-25 12:26:55,093 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:54
2023-09-25 12:26:55,132 fail2ban.actions        [1775]: NOTICE  [sshd] 5.181.*.* already banned
2023-09-25 12:26:55,843 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:55
2023-09-25 12:26:56,593 fail2ban.filter         [1775]: INFO    [sshd] Found 5.181.*.* - 2023-09-25 12:26:56

Alles anzeigen

Okay, hat also funktioniert. Auch Munin hat das erste mal was geloggt:

Munin

Hätte ich nicht gedacht. Scheint ja dann alles in Ordnung zu sein... Hm.

Zitat von Andi22
Außerdem solltest Du noch
Code
[sshd]
port    = 12345 #was-auch-immer-dein-port-ist
hinzufügen.

Habe ich gemacht. Danke dir. Aber ich dachte fail2ban bannt auch unabhängig davon, ob ich meinen SSH-Port angebe oder nicht? Also auf allen Ports?

Bud · 25. September 2023

Code: tarui log

Sep 12 08:24:40 tauri sshd[2425473]: banner exchange: Connection from 198.235.*.* port 62154: invalid format
Sep 12 11:00:38 tauri sshd[2434013]: error: kex_exchange_identification: banner line contains invalid characters
Sep 12 11:00:38 tauri sshd[2434013]: banner exchange: Connection from 122.38.*.* port 54855: invalid format
Sep 12 20:05:12 tauri sshd[2463244]: error: kex_exchange_identification: Connection closed by remote host
Sep 12 20:05:12 tauri sshd[2463244]: Connection closed by 195.96.*.* port 55508
Sep 12 20:05:13 tauri sshd[2463250]: error: kex_exchange_identification: banner line contains invalid characters
Sep 12 20:05:13 tauri sshd[2463250]: banner exchange: Connection from 195.96.*.* port 55524: invalid format
Sep 12 20:05:13 tauri sshd[2463247]: error: kex_exchange_identification: Connection closed by remote host
Sep 12 20:05:13 tauri sshd[2463247]: Connection closed by 195.96.*.* port 55520
Sep 12 20:05:13 tauri sshd[2463246]: error: Protocol major versions differ: 2 vs. 1
Sep 12 20:05:13 tauri sshd[2463246]: banner exchange: Connection from 195.96.*.* port 55518: could not read protocol version
Sep 12 20:05:13 tauri sshd[2463251]: error: Protocol major versions differ: 2 vs. 1
Sep 12 20:05:13 tauri sshd[2463251]: banner exchange: Connection from 195.96.*.* port 55528: could not read protocol version
Sep 12 20:05:13 tauri sshd[2463249]: Unable to negotiate with 195.96.*.* port 55526: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1 [preauth]
Sep 12 20:05:13 tauri sshd[2463253]: Invalid user dookn from 195.96.*.* port 55532
Sep 12 20:05:13 tauri sshd[2463261]: Unable to negotiate with 195.96.*.* port 55632: no matching host key type found. Their offer: ssh-dss [preauth]
Sep 12 20:05:13 tauri sshd[2463253]: Connection closed by invalid user dookn 195.96.*.* port 55532 [preauth]
Sep 12 20:05:13 tauri sshd[2463263]: Unable to negotiate with 195.96.*.* port 55734: no matching host key type found. Their offer: ssh-rsa [preauth]
Sep 12 20:05:14 tauri sshd[2463265]: Connection closed by 195.96.*.* port 55828 [preauth]
Sep 12 20:05:14 tauri sshd[2463267]: Unable to negotiate with 195.96.*.* port 55920: no matching host key type found. Their offer: ecdsa-sha2-nistp384 [preauth]
Sep 12 20:05:14 tauri sshd[2463269]: Unable to negotiate with 195.96.*.* port 56022: no matching host key type found. Their offer: ecdsa-sha2-nistp521 [preauth]
Sep 12 20:05:14 tauri sshd[2463271]: Connection closed by 195.96.*.* port 56090 [preauth]
Sep 12 20:05:15 tauri sshd[2463248]: Connection closed by 195.96.*.* port 55522 [preauth]
Sep 13 11:17:15 tauri sshd[2512162]: error: kex_exchange_identification: client sent invalid protocol identifier "GET / HTTP/1.1"
Sep 13 11:17:15 tauri sshd[2512162]: banner exchange: Connection from 198.235.*.* port 61060: invalid format
Sep 13 19:58:31 tauri sshd[2539998]: error: kex_exchange_identification: read: Connection reset by peer
Sep 13 19:58:31 tauri sshd[2539998]: Connection reset by 84.54.*.* port 61000
Sep 13 22:05:43 tauri sshd[2546949]: error: kex_exchange_identification: client sent invalid protocol identifier "GET / HTTP/1.1"
Sep 13 22:05:43 tauri sshd[2546949]: banner exchange: Connection from 205.210.*.* port 60982: invalid format
Sep 14 01:26:33 tauri sshd[2557733]: Connection closed by 167.94.*.* port 43422 [preauth]
Sep 14 04:01:12 tauri sshd[2566024]: error: kex_exchange_identification: read: Connection reset by peer
Sep 14 04:01:12 tauri sshd[2566024]: Connection reset by 84.54.*.* port 61000
Sep 14 16:00:40 tauri sshd[2604603]: error: kex_exchange_identification: banner line contains invalid characters
Sep 14 16:00:40 tauri sshd[2604603]: banner exchange: Connection from 185.36.*.* port 63035: invalid format
Sep 14 18:45:32 tauri sshd[2613222]: error: kex_exchange_identification: read: Connection reset by peer
Sep 14 18:45:32 tauri sshd[2613222]: Connection reset by 84.54.*.* port 61000
Sep 14 22:46:44 tauri sshd[2626344]: error: kex_exchange_identification: Connection closed by remote host
Sep 14 22:46:44 tauri sshd[2626344]: Connection closed by 87.236.*.* port 42837
Sep 14 22:46:44 tauri sshd[2626345]: Connection closed by 87.236.*.* port 56957 [preauth]
Sep 15 09:59:14 tauri sshd[2662288]: error: kex_exchange_identification: client sent invalid protocol identifier "GET / HTTP/1.1"
Sep 15 09:59:14 tauri sshd[2662288]: banner exchange: Connection from 205.210.*.* port 58430: invalid format
Sep 15 10:37:09 tauri sshd[2664423]: error: kex_exchange_identification: client sent invalid protocol identifier "GET / HTTP/1.1"
Sep 15 10:37:09 tauri sshd[2664423]: banner exchange: Connection from 198.235.*.* port 60716: invalid format
Sep 15 11:53:00 tauri sshd[2668434]: error: kex_exchange_identification: read: Connection reset by peer
Sep 15 11:53:00 tauri sshd[2668434]: Connection reset by 84.54.*.* port 61000
Sep 15 18:58:43 tauri sshd[2691215]: error: kex_exchange_identification: read: Connection reset by peer
Sep 15 18:58:43 tauri sshd[2691215]: Connection reset by 185.36.*.* port 59601
Sep 16 05:12:24 tauri sshd[2724140]: Connection closed by 167.94.*.* port 56310 [preauth]
Sep 16 11:06:21 tauri sshd[2743162]: error: kex_exchange_identification: banner line contains invalid characters
Sep 16 11:06:21 tauri sshd[2743162]: banner exchange: Connection from 84.54.*.* port 61000: invalid format
Sep 16 13:19:42 tauri sshd[2750187]: error: kex_exchange_identification: client sent invalid protocol identifier "GET / HTTP/1.1"
Sep 16 13:19:42 tauri sshd[2750187]: banner exchange: Connection from 198.235.*.* port 58828: invalid format
Sep 17 00:33:17 tauri sshd[2786319]: error: kex_exchange_identification: read: Connection reset by peer
Sep 17 00:33:17 tauri sshd[2786319]: Connection reset by 84.54.*.* port 61000
Sep 17 05:55:25 tauri sshd[2803686]: error: kex_exchange_identification: client sent invalid protocol identifier "GET / HTTP/1.1"
Sep 17 05:55:25 tauri sshd[2803686]: banner exchange: Connection from 205.210.*.* port 59560: invalid format
Sep 17 11:56:31 tauri sshd[2823060]: error: kex_exchange_identification: read: Connection reset by peer
Sep 17 11:56:31 tauri sshd[2823060]: Connection reset by 84.54.*.* port 61000
Sep 17 13:09:06 tauri sshd[2826815]: error: kex_exchange_identification: Connection closed by remote host
Sep 17 13:09:06 tauri sshd[2826815]: Connection closed by 87.236.*.* port 40773
Sep 17 13:09:06 tauri sshd[2826816]: Connection closed by 87.236.*.* port 53041 [preauth]
Sep 17 13:25:11 tauri sshd[2827887]: Accepted publickey for Bud from *.*.*.* port * ssh2: RSA SHA256:HalloNetcupForum<3
Sep 17 13:25:11 tauri sshd[2827887]: pam_unix(sshd:session): session opened for user Bud(uid=1000) by (uid=0)
Sep 17 13:25:11 tauri sshd[2827887]: pam_env(sshd:session): deprecated reading of user environment enabled
Sep 18 01:29:14 tauri sshd[2866715]: error: kex_exchange_identification: client sent invalid protocol identifier "GET / HTTP/1.1"
Sep 18 01:29:14 tauri sshd[2866715]: banner exchange: Connection from 198.235.*.* port 60142: invalid format
Sep 18 03:17:17 tauri sshd[2872599]: error: kex_exchange_identification: Connection closed by remote host
Sep 18 03:17:17 tauri sshd[2872599]: Connection closed by 143.110.*.* port 60196
Sep 18 06:14:45 tauri sshd[2882074]: Connection closed by 167.248.*.* port 37472 [preauth]
Sep 18 07:55:40 tauri sshd[2887750]: error: kex_exchange_identification: read: Connection reset by peer
Sep 18 07:55:40 tauri sshd[2887750]: Connection reset by 84.54.*.* port 61000
Sep 18 17:53:46 tauri sshd[2919727]: error: kex_exchange_identification: read: Connection reset by peer
Sep 18 17:53:46 tauri sshd[2919727]: Connection reset by 84.54.*.* port 61000
Sep 19 11:40:48 tauri sshd[2977182]: error: kex_exchange_identification: read: Connection reset by peer
Sep 19 11:40:48 tauri sshd[2977182]: Connection reset by 84.54.*.* port 61000
Sep 19 12:04:40 tauri sshd[2978262]: error: kex_exchange_identification: client sent invalid protocol identifier "GET / HTTP/1.1"
Sep 19 12:04:40 tauri sshd[2978262]: banner exchange: Connection from 205.210.*.* port 61958: invalid format
Sep 19 14:48:00 tauri sshd[2987157]: error: kex_exchange_identification: client sent invalid protocol identifier "GET / HTTP/1.1"
Sep 19 14:48:00 tauri sshd[2987157]: banner exchange: Connection from 205.210.*.* port 61166: invalid format
Sep 19 18:23:23 tauri sshd[2998674]: error: kex_exchange_identification: read: Connection reset by peer
Sep 19 18:23:23 tauri sshd[2998674]: Connection reset by 84.54.*.* port 61000
Sep 19 23:37:03 tauri sshd[3015559]: Connection closed by 167.248.*.* port 34046 [preauth]

Alles anzeigen

aRaphael · 25. September 2023

Zitat von Bud

"Hattest Du nicht Deinen SSH-Port geändert?"

Richtig. Und 22 ist auch zu (ufw).

Dann ist das nicht ungewöhnlich.

Auf fast allen meiner Server (ssh-Port überall geändert) hat fail2ban nichts zu tun.

EDIT: Eben mal nachgesehen. Tatsächlich auf allen

Setz den Port doch versuchsweise mal auf 22 zurück.

Dann sollte sich schnell was tun

Bud · 25. September 2023

Zitat von aRaphael

Dann ist das nicht ungewöhnlich.

Auf fast allen meiner Server (ssh-Port überall geändert) hat fail2ban nichts zu tun.

Als ich euch damals gefragt hatte, wie ich einen Linux-Server absichere, meinte irgendjemand, dass das Ändern des SSH-Ports nicht viel bringt Deswegen hatte ich mir auch nicht allzu viel davon versprochen... Aber die ganzen Zugriffe die geloggt wurden, waren ja auch andere Ports als 22?

Zitat von aRaphael

Setz den Port doch versuchsweise mal auf 22 zurück.

Dann sollte sich schnell was tun

Done (auf meinem Testserver)

aRaphael · 25. September 2023

Zitat von Bud

.... meinte irgendjemand, dass das Ändern des SSH-Ports nicht viel bringt

Ja, das ist so ne Glaubensfrage.

Es gibt die Meinung, das sei ja doch nur "security by obscurity" und bringe keinen Sicherheitsgewinn.

Ich selbst mach das immer und bin damit schon mal 99% der Angreifer auf ssh los. (Und die logs bleiben schön sauber )

tom434 · 25. September 2023

Zitat von Bud

Aber die ganzen Zugriffe die geloggt wurden, waren ja auch andere Ports als 22?

Done (auf meinem Testserver)

Wie aRaphael - schreibt, es bringt nichts gegen gezielte Angriffe - aber die meisten Scannen, scannen nur die Standard Ports, da man so am wenigsten Nois verursacht (nmap z. B. scannt standardmäßig auch nur die "most common 1,000 ports for each protocol.")

Paul · 25. September 2023

Gerade wenn man sowieso mehrere Server hat, lohnt es sich auch einen Jumphost / MGT Host zu konfigurieren, über den die SSH Verbindungen laufen. Dann kann man auf allen produktiven Systemen SSH komplett schließen und nur vom Jumphost erlauben. Der Jumphost kann dann entsprechend "gehärtet" werden (Fail2ban & Co.) und sollte auch nichts anderes (nach außen) laufen haben als SSH (minimale Angriffsfläche). Ggfs kann man auch noch ein VPN konfigurieren - muss man aber nicht. Das nur nochmal als kleine Ergänzung.

Bud · 25. September 2023

Also brauche ich quasi einen weiteren Server? I see what you did there..

Spaß beiseite: Kommt auf meine Liste.

aRaphael · 25. September 2023

Besser zwei. (Falls der eine Jumphost mal ausfällt )

Aber morgen ist ja wieder Aktionstag.

Ecki · 25. September 2023

ja einnen VPS Pacman, der frisst all dein Taschengeld auf

Bud · 26. September 2023

Zwar nicht so schlimm wie bei RAD750, aber zumindest ist mal was zu sehen:

Spoiler anzeigen

Allerdings hab ich nach dem Kommentar von tom434 mal meinen SSH-Port mit der Liste von nmap vergleichen. Joar... Was soll ich sagen... Ich brauche wohl einen neuen SSH-Port...

aRaphael · 27. September 2023

Chulak und Tauri.

Meine hostnames sind auch systematisch:

pasted-from-clipboard.png

Bud · 27. September 2023

Apropos hostnames: Ist es wichtig, diese geheim zu halten? Eigentlich nicht, oder?
Wie sieht es mit Sudo-Benutzern aus?

aRaphael · 27. September 2023

Zitat von Bud

Apropos hostnames: Ist es wichtig, diese geheim zu halten? Eigentlich nicht, oder?

Ich nehme an, die Frage wurde dadurch getriggert, dass ich in meinem Beitrag drei unkenntlich gemacht habe?

Das war nur, weil dort der dnsdomainname jeweils der domain des Servers entspricht.

Valkyrie · 27. September 2023

Zitat von Bud

Apropos hostnames: Ist es wichtig, diese geheim zu halten?

Nö, kann ruhig jeder wissen, dass dein Server Peter Griffin heißt.

Zitat von Bud

Wie sieht es mit Sudo-Benutzern aus?

Hier würde ich sagen ja, weil dann erst die richtige Kombi gefunden werden muss und es einen weiteren Layer bildet. Ich wüsste spontan nicht wie das jemand von außerhalb herausfinden könnte, abgesehen von brute force oder Service, der das versehentlich ausplaudert. Aber letztenendes ist das wichtigste immer noch dein Passwort oder Key bzw. wenn man noch weitergehen will 2FA.

Fun fact: Gaben von Valve hat der ganzen Welt seine Steam Zugangsdaten mitgeteilt, weil er solches Vertrauen in seine 2FA Systeme hatte!

RAD750 · 27. September 2023

Zitat von aRaphael

Chulak und Tauri.

Meine hostnames sind auch systematisch:

pasted-from-clipboard.png

Hab auch ein Server mit Namen Lucy. Ist aber ne alte Kiste, inzwischen nenne ich die nach Pokemon

Bud · 2. Oktober 2023

Hola zusammen, ich mal wieder

Ich verzweifle gerade daran, den Benutzer zu wechseln. Ich habe den Benutzer example erstellt, und wenn ich mit su example wechseln will, werde ich nach einem Passwort gefragt, obwohl ich ihn mit --disable-password erstellt habe.

Was habe ich falsch gemacht?

Server administrieren - wo fange ich an?

Ähnliche Themen

vServer - Webserver absichern gegen Bad IPs

OS Reinstall "stuck"

Netcup Vps Problem

Windows Server als Terminal Server

Windows Server 2019 & Wireguard

WindowsServer19: nach Juni 22 Patchday kein NAT + RDP über VPN möglich