Das längste Thema

Quote from Cictani

Also evlt. ganz fett und deutlich, damit es auch jeder lesen kann: Es geht nicht um eine Erhöhung der Sicherheit, sondern um eine Reduzierung der Größe der Logfiles und Bans.

das bekommst billiger ..., einfach Logs abdrehen

Und dann sehe ich nicht, wenn mal wirklich jemand meinen Server hacken will (nicht nur irgendwelche bots oder Script Kiddies) nicht, wann das versucht wurde... Alles sehr sinnvolle Vorschläge hier, ich sehe schon.

Darf man fragen wie groß eure auth.log so mit der Zeit wird? Mit Firewall und nur PubKeyAuth bin ich jetzt bei 2,4 MB seit dem 2. Juli

Meine auth.log Dateien seit dem 11.06.2018 haben 18120 Zeilen. Mit der Größe ists halt etwas schwer zu vergleichen, wenn die Log files dann noch komprimiert werden.

zcat -f auth.log.* | wc -l
18120

Davon 5 sshd authentication failures:

zcat -f auth.log.* | grep 'sshd.*authentication failure' | wc -l
5

Und alle 5 von mir selbst verursacht.

Aber hey lasst eure Logs weiterhin zumüllen und verwendet brav den Port 22

Hoppla. Meine aktuelle auth.log hat schon 25493 Zeilen

Tja, bei mir is alles auf Standard und auth.log hat genau Null Bytes ...

was mach ich falsch?

Quote from Cictani

Also evlt. ganz fett und deutlich, damit es auch jeder lesen kann: Es geht nicht um eine Erhöhung der Sicherheit, sondern um eine Reduzierung der Größe der Logfiles und Bans.

Also die Tatsache, dass mam durch die Änderung des Ports potentielle Angreifer außen vor lässt, macht es für mich zu einem sicherheitsrelevanten Punkt.

Wenn alle ihre Fahrräder außen vor dem Haus parken, wo ständig wer vorbei kommt und sie versucht zu klauen, ... Ich meins aber hinter dem Haus abstelle, wo keiner vorbei kommt ... ist es in meinem Augen sicherer.

Klar kommt es auch auf das Schloss an. Und klar, wenn wer das Teil klauen will, schafft er es auch.

Just my 5 Cents

Quote from geekmonkey

Also die Tatsache, dass mam durch die Änderung des Ports potentielle Angreifer außen vor lässt, macht es für mich zu einem sicherheitsrelevanten Punkt.

Wenn alle ihre Fahrräder außen vor dem Haus parken, wo ständig wer vorbei kommt und sie versucht zu klauen, ... Ich meins aber hinter dem Haus park abstelle, wo keiner vorbei kommt ... ist es in meinem Augen sicherer.

Klar kommt es auch auf das Schloss an. Und klar, wenn wer das Teil klauen will, schafft er es auch.

Just my 5 Cents

Display More

Ich sehe das in begrenztem Rahmen auch so.

Ich interpretiere auch "Security through obscurity" oder auch "Sicherheit durch Unwissen" anders bzw. nicht so strikt: Der Begriff sagt ja grade aus, dass durch Verschleierung an Sicherheit dazu gewonnen wird. Es ist nicht die nachhaltigste oder beste Sicherheit, aber es ist eine. Am Ende des Tages geht es im Alltag darum, dass andere Ziele interessanter sind als du, und wenn du das erreichst ist das mEn ein valider Sicherheitszugewinn.

Ebenso zählt Port-Knocking meiner Auffassung nach zu "Security through obscurity", was einige meiner Kollegen anders sehen; es ist aber am Ende des Tages das gleiche Prinzip.

Ich hab mal in einem Auto eine Mechanik verbaut gesehen, dass man erst den Fensterheber betätigen muss, bevor man das Auto anschalten kann. Ich könnte mir vorstellen, dass das auch "Alltagsdiebstähle" abhält.

Natürlich: Wenn es jemand auf dich abgesehen hat ist das kein realer Sicherheitsgewinn. Es ist also auch immer eine Frage des Sicherheitszugewinns im Bezug auf welches Szenario?

Zum Glück darf ja jeder seine eigene Meinung haben.

Und ich persönlich bin jedem dankbar, der den SSH-Port nicht ändert (oder sein Fahrrad vorm Haus lässt ). Würden nämlich alle ihren Port ändern, würde es gar nichts mehr bringen.

Quote from janxb

Ich habe hier mal einen Erfahrungsbericht: Wir sind vor ein paar Monaten mit einem großen LXD-Host in das neue Produkt He***er Cloud umgezogen. Dort waren wir auf einem CEPH-Storage in Nürnberg untergebracht. Leider ist das Storage in den letzten Monaten so häufig ausgefallen, dass wir demnächst wieder zu netcup zurückkommen. Auch der Support ist langsam und am Wochenende nicht zu erreichen. Zusätzlich ist auch preislich bei netcup mehr drin.

Wie so oft gilt also auch hier: Man weiß erst was man hatte, wenn man es nicht mehr hat. In dem Sinne: Hallo netcup, wir kommen zurück. Und sorry für den (kurzen) Seitensprung!

Ja, die Erfahrung habe ich auch gemacht. Stabilität ist definitiv etwas anderes als das was dort derzeit passiert.

lg.

Quote from Hecke29

Ich hab mal in einem Auto eine Mechanik verbaut gesehen, dass man erst den Fensterheber betätigen muss, bevor man das Auto anschalten kann. Ich könnte mir vorstellen, dass das auch "Alltagsdiebstähle" abhält.

München, Winter 2015?, -10°C Außentemp, Benziner (Heizung funktioniert via Kühlwasser - Auto wird also mit -10°C beheizt).

KFZ stand länger auf dem Parkplatz, auf der Frontscheibe 5cm dickes Eis.

Wenn das Fenster nicht aufgeht, geht mein Motor nicht an? - na gut, dann wird er zumindest nicht geklaut...

Der Fensterheber muss ja nicht das Fenster öffnen, sondern - soweit ich das verstanden habe - nur ausgelöst werden.

also so eine Art Port-Knocking?

Was natürlich cooler ist als Port Knocking: nach erfolgreichem Login auf einem Web Portal wird für die Quell-IP der SSHD Port freigeschaltet.

@H6G, du meinst eine simple 2FA? Dann kann ich doch auch gleich ein TOTP nehmen. Das ist dann wenigstens auch noch zeitlich begrenzt.

PS: POP-before-SMTP nannte man das früher. Und irgendwann war POP tot

Quote from vmk

@H6G, du meinst eine simple 2FA? Dann kann ich doch auch gleich ein TOTP nehmen. Das ist dann wenigstens auch noch zeitlich begrenzt.

Ist IMHO kein zweiter Faktor. Nur eine authentifizierte Firewallfreigabe - im Idealfall mit den gleichen Zugangsdaten wie pam_unix.

TOTP Token sind schwer über eine zentrale Nutzerverwaltung auszurollen.

/me sieht mal kurz zu seinem fwknopd rüber

^{Firewall Knoppix Daemon}

Sieht sehr interessant aus.

Quote from vmk

PS: POP-before-SMTP nannte man das früher. Und irgendwann war POP tot

POP gibt es nach wie vor, nicht immer ist IMAP zweckmäßig;

mit POP-before-SMTP war der erste Schritt in Richtung SMTP zu kontrollieren;

ich hab 2 Postfächer, enes das ich an meine Heizflosse angebunden habe

und eines das nur dazu dienst, sämtliches von meinem Mailserver zu relayen,

um es dann zu Hause per fetchmail abzuholen;

ich hatte soeben einen Update-Marathon (CentOS 6.10 ist erschienen)

- DNS-VM

- Proxy-VM

- Mailstore-VM

- Mailsend-VM

- Mailreceive-VM

- Apache-VM

- Router-Box

- die VMs hier

und auch Scientific Linux 6.10 ist ebenfalls erschienen

- Desktop-VM

...

Quote from vmk

Und irgendwann war POP tot

Ich poppe noch immer zweimal pro Stunde.