ssh nur über bestimmte ip-Range

    Hallo liebe Leute ...
    ich hab mir mal eben wieder meine fail2ban.log durchgenommen und musste feststellen, dass seit 1woche bestimmte Ip's versuchen auf meine Shell zugrifff zu bekommen ...


    Meine Frage ... kann ich meine Shell nur für eine bestimmte Ip Range verfügbar machen ... bzw. nur für eine bestimmte IP (static Ip, is ja wayne)
    weil ich hab echt keine Lust, dass da irgendwann wie Bruteforce doch mein passwort "erraten" wird ...
    oder brauche ich mir keinerlei bedenken machen, da mein 7-15 stelliges PW ehe unerratbar ist (nein, es ist nicht sowas wie supergeil, sicherespasswort ....) Die "Chance" besteht ja, dass es erraten wird


    MfG

    Zitat von ferrarajunior;17727

    Meine Frage ... kann ich meine Shell nur für eine bestimmte Ip Range verfügbar machen ... bzw. nur für eine bestimmte IP (static Ip, is ja wayne)


    Dafür ist die Firewall zuständig.

    "Security is like an onion - the more you dig in the more you want to cry"

    Zitat von Michael;17728

    Ein sicheres Passwort ist z.B. :


    cat#!LOL!ROFL1337


    Du könntest ja einfach die Ip des Bruters in /etc/hosts.deny eintragen.


    problem is ja, dasses mehrere Ip sind und wechseln immer ...
    Ich check dass nochmal in der Firewall (kam noch ned wirklich dazu diese optimal zu konfigurieren)


    Danke euch

    Hast du denn z.b. den SSH Port verlegt?


    Nachdem ich (u.a.) meinen Port geändert hatte war Ruhe! ;)

    Rechtschreibfehler sind unter Creative Commons BY-NC-ND 3.0 DE lizenziert.

    das mit dem shell umerverlegen ist echt eine sehr gute idee ...
    hab garnicht daran gedacht *schäm*
    keyfile ... hmm ka ich habs lieber, wenn ein passwort, ka auf nem Zettelchen neben meinem Pc klebt, als dasses auf meinem rechner gespeichert ist
    jedem seine sache ... ich werd erstmal den port verlegen und schaun, obs dann aufhört ... ansonsten werd ich die ips nach 2 falschen versuchen bannen lassen ... (mussmal fail2ban cfg anschaun) ...


    aber danke für die idee ich war jetzt so geschockt, dass ich das "einfachste" garnicht in erwägung gezogen habe


    MfG

    Passwort ist schön und gut, auch mit fail2ban, aber stell dir vor jemand legt ein größeres Netz darauf an das Passwort zu erraten. Da bringt dir dann auch fail2ban und ein anderer Port nichts.


    Daher gerade bei größeren Projekten immer KeyFiles bevorzugen.

    Quatsch. So viele IPs wird selbst IPv7 nicht liefern, die Wahrscheinlichkeit eines Treffers bei einem Ban bei 5 falschen Versuchen auf über 2% zu erhöhen.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Kommt drauf an. Man gehe von 2000 Servern aus, jeder hat einfach mal 10 dom's (xen) mit 1 IP. Macht schonmal 20.000 IP's.


    Jeder hat 2 Versuche:
    40.000 Versuche in ein paar Sekunden auf den gleichen Server - Das wird ssh sicher freuen, vor allem wenn es noch die Daten mit den Systemusern abgleichen muss. Da kann man dann hoffen das RZ hat ne gute firewall :)

    Zitat

    vor allem wenn es noch die Daten mit den Systemusern abgleichen muss.

    DoS kriegt man auch einfacher hin...


    Zitat

    40.000 Versuche

    Abgesehen davon, dass kein Netz 40.000 IPs auftreiben wird, Wenn doch, hast du andere Sorgen als einen primitiven SSH-Brute:
    Wenn der Bruter von Buchstaben und zahlen ausgeht (abcABC123), kriegt er alle einstelligen, alle zweistelligen und die Hälfte der dreistelligen PWs durch. Was ist nun aber, wenn du ein vierstelliges PW nutzt?
    (Anzahl der Kombis ist btw: [Anzahl mögl. Zeichen] "hoch" [Anzahl der Stellen]. 62^3 >> 40.000


    => Bruten ist, sobald es eine "Nach x Versuchen gibts Sperre" davor ist, technisch absolut unmöglich.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    ja aber soooo groß ist mein Projekt nicht ...
    ich habe keine Vertraulichen daten auf dem root
    einzig ein Gameserver +Hp Sql mail etc.


    mal eine andere Frage
    ich seh grad in meiner Log, dass einige bestimmte Server meinen nach Sicherheitslücken scannen


    Zitat

    [Thu Apr 22 16:13:14 2010] [error] [client 202.75.211.90] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)


    [Thu Apr 22 16:02:53 2010] [error] [client 195.158.8.206] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)


    [Thu Apr 22 15:33:38 2010] [error] [client 211.155.228.169] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)


    Was kann ich DAGEGEN machen?
    je mehr ich mir die logs ansehe desto unsicherer fühle ich mich
    Ich bin noch relativ unerfahren und grade noch am rumkonfigurieren
    kann ich diese request ohne hostname einfach verbieten?
    sowas wie hostname=true oder so ka ...
    hab echt keine Lust einen untermieter in meinem Server zu haben


    tracert gibt


    ohh mann -.-
    MfG

    Diese w00tw00t Scans sind unproblematisch. Das ist nur für Windows Kisten mit IIS unter Umständen gefährlich.


    China.

    Silkroad kenne ich, das issen spiel .... xD
    silkroadonline.net ^^



    also können die bei mir "nichts" finden, selbst wenn da was wäre ?


    ich frage bewusst, ich gerade apache2 neu configurieren muss und jetzt geht erstmal funktion vor Sicherheit ...


    danke dir schonmal ^^
    damit wärs eig. geklärt
    Usbstick(passwortgeschützt)+keyfile = mushave :D


    Ich danke euch
    MfG