Erste Schritte VPS 1000 G9 12M

  • EDIT: Die Wahrscheinlichkeit, dass durch x-maliges schnelles(!) Anklopfen von ca. 65000 Ports via TCP und UDP die Sequenz als korrekt erkannt wird, ist sehr gering,

    stimmt, dafür die Wahrscheinlichkeit dass man sich damit selbst rauskickt im Sinne von komplett aussperrt dafür umso höher;8o

    ich halte von sowas nicht viel; auch nur das Ändern des SSH-Ports 22 auf irgend einen anderen Port ist nicht unbedingt zielführend;


    das einzige was wirklich hilft, Quell-IPs definieren die eine Verbindung aufbauen dürfen und der Rest wird per IPtables gedrop'ed;


    man sollte sich bei dem Ganzen nicht unbedingt dabei selbst ein Bein stellen; ;)

  • stimmt, dafür die Wahrscheinlichkeit dass man sich damit selbst rauskickt im Sinne von komplett aussperrt dafür umso höher;8o

    Die korrekte Sequenz kann man schon ein paarmal senden. Bedarf dafür besteht aber in der Praxis eh' nur, wenn man keine VPN-Verbindung aufbauen kann (es ist also bereits ein Fallback-Szenario). Und wenn es einmal zu einer Sperrung kommen sollte – noch nie erlebt in den letzten Monaten! – bietet sich der Umweg über einen anderen Rechner an ("neues Spiel, neues Glück") … :D – Einer der vielen Vorteile des Server-Hoardings. :whistling:

  • Kannst du doch notfalls rückgängig machen. Es gibt ja noch die VNC-Konsole. Deine Methode mit den Quell-IPs habe ich auch schon angedacht. Feste IP habe ich aber leider nicht. Insofern müsste ich die zugelassenen Subnetze eher SEHR großzügig definieren, sonst bin ich ganz schnell mindestens ebenso ausgesperrt wie mit der anderen Methode. Am ehesten ginge es noch mit IPv6, weil mir da zumindest ein (so wie es aussieht) festes Subnetz zugeteilt ist, das jedenfalls zumindest über die letzten Monate gleich blieb. Aber wie das dann aussieht, wenn ich mit dem Notebook unterwegs bin und per Mobilfunk bzw WLAN mich verbinden müsste, sicher schlecht. Da dürfte ich halt nie vergessen, die Geschichte mit den zugelassenen IPs vor der Abreise zurück zu bauen - oder das notfalls halt ebenfalls von unterwegs per VNC-Konsole zu machen.


    Edit: Da sind wir aber mittlerweile schon relativ weit von den "ersten Schritten" entfernt.

  • meinst hier die IP-Segmente, welche Deinem ISP zugeteilt sind?

    Ja, jedenfalls für IPv4. Aber ich denke ein VPN-Server wäre wohl die bessere Lösung, um eine feste IP nutzen zu können. Dann muss ich nur eine IPv4 und eventuell eine IPv6 freigeben. Geht allerdings wohl über den Rahmen dieses Threads raus.

  • Mal eine Frage zu Zugangsschutz mit Port-Knocking, iptables und fail2ban: Macht ihr das, weil ihr keinen key-only Login nutzen könnt oder wollt?


    Bisher habe ich mit Zugang nur per ssh-key eigentlich keine Bedenken, ohne irgendwelchen weiteren Schutz. Und wenn ich Ruhe im Log haben will, dann gibt's ssh nur auf IPv6, und zwar auf einer nur dafür verwendeten Adresse. Dann ist da völlige Ruhe.

  • Mal eine Frage zu Zugangsschutz mit Port-Knocking, iptables und fail2ban: Macht ihr das, weil ihr keinen key-only Login nutzen könnt oder wollt?

    Ich mache das zusätzlich, weil es unter anderem die Logs klein hält (ohne die Chance, mit SSH oder anderen Diensten zu kommunizieren, gibt es auch keine wie­der­hol­ten protokollierten Login-Versuche Dritter). Und es ist einfach eine zusätzliche Sicherheitsvorkehrung, die nicht schadet und den regulären Betrieb nicht (nennenswert) ver­kom­pli­ziert.

    Und wenn ich Ruhe im Log haben will, dann gibt's ssh nur auf IPv6, und zwar auf einer nur dafür verwendeten Adresse.

    Das ist auch eine Möglichkeit, allerdings nicht immer eine Option.

  • Eine Firewallregel, um auffällig häufige/schnelle Verbindungen auf den SSH Port zu unterbinden und dazu OSSEC oder Fail2Ban, um die Adressen, die durch die Regel durchflutschen, in der Firewall zu sperren, und dann herrscht auch Ruhe. Zumal den Angreifern somit gleich komplett der Zugriff auf alle Ports verwehrt wird. Wer der Welt was Gutes tun will, kann für die Angreifer auch ein Tarpit einrichten.