Firewall richtig konfigueriert?

    Hey Community,



    ich bin neu und würde gerne fragen ob ich meine Firewall richtig konfigueriert hab... Hier ein Screen der Firewall: [Blockierte Grafik: http://www.mph.de/olol1.png]


    Ich habe auch den SSH Port geändert und rootlogin auf >>no<< gesetzt. Was fehlt noch damit der Server einigermaßen sicher ist?


    Und noch eine Frage zur SSH Willkommensnachricht: Warum wird sie nicht angezeigt? Ich habe sie in der /etc/modt.tail geändert und vServer restart gemacht. Ich habe es in der /etc/modt.tail geändert da die /etc/modt auch mit root-Rechten nicht aufrufbar ist... Was mache ich hier falsch? :confused:




    MfG,



    runner :)

    Zur MOTD:


    /etc/ssh/sshd_config:

    Code
    PrintMotd no
PrintLastLog yes

    Dies stellt das Ausgeben der MOTD ab und aktiviert das Anzeigen des Hosts der letzten SSH-Verbindung zum User.



    Zur Serversicherheit:


    Naja, das klingt schonmal gut. Die Firewall muss nicht zwangsläufig alles blocken, denn wo nichts horcht, antwortet auch nichts. Bei Diensten wie Passive-FTP kann das kritisch werden.
    Jetzt musst du nur noch auf PKI umstellen oder sichere Passwörter in Verbindung mit Tools wie fail2ban verwenden, dann siehts gut aus :)

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Jo, ich gucke jetzt erstmal wie man das mit den Zertifikaten macht...
    Oder könntest du mir das genauer erklären? :D


    wenn ich

    Code
    PrintMotd no

    mache wird es doch deaktiviert?
    Ich möchte es aber gerne aktivieren ;) Also z.B. "Hi, bitte logge dich ein!"




    MfG,



    runner

    Pass auf: Zieh dir mal das PuTTY-Gen-Tool.


    Nun gebe in deiner Linux-Shell "ssh-keygen -b 4096 -t rsa" ein und wähle einen Speicherort deiner Wahl.
    Öffne diese Datei, kopiere den Inhalt, öffne unter Wind00f den Editor und paste den Kram da rein. Speichere beliebig.
    Nun öffne den PuTTY-Gen und lade über "Load" den eben erstellten Key.


    Editiere ggf. den "Key comment"-Text in etwas, was dir gefällt und kopiere den großen Textblock oben in die Zwischenablage.
    Nun öffne ~/.ssh/authorized_keys (ggf. erstellen) und paste den Kram einfach rein.
    Damit du sowohl mit dem *nix-SSH-Client als auch PuTTY den priv-Key nutzen kannst, klicke noch auf "Save private Key" und bejahe die Frage, ob der Key unverschlüsselt gespeichert werden soll.
    Lege den Key beliebig ab.


    So, du hast nun 3 Dateien erstellt:
    Mit dem Linux-Befehl hast du eine Datei ohne Endung erstellt, dies ist dein privater Key für den *nix-SSH-Client.
    Die Datei mit ".pub"-Endung ist der public Key, den du in die ~/.ssh/authorized_keys packen musst, damit der priv. Key als Schlüssel funzt. Das habne wir aber schon gemacht.
    Und der mit dem PuTTY-Gen exportierte Key ist der private Key für PuTTY.


    Wichtig: Die private Keys sind stehts vertraulich zu behandeln!



    Noch eine letzte Sache:
    Damit die PKI funzt, musst du in der /etc/ssh/sshd_config folgendes eingeben:

    Code
    PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys

    .
    Anschließend den SSHd restarten: /etc/init.d/ssh restart




    HAVE FUN!





    Zitat

    Ich möchte es aber gerne aktivieren ;) Also z.B. "Hi, bitte logge dich ein!"


    Die MOTD wird erst NACH dem Login gezeigt.
    Ich finde sie nervig... Wenn ich begrüßt werden will, programmiere ich meinen Asterisk, dass er mich alle 10min anruft und "guten-tag.gsm" abspielt.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Sry falls du mich falsch verstanden hast: Ich möchte es so absichern das man NUR noch mit dem Zertifikat rein kann & ohne Passwort... Also nicht ohne Zertifikat aber mit Passwort...




    MfG