Das längste Thema

  • Also evlt. ganz fett und deutlich, damit es auch jeder lesen kann: Es geht nicht um eine Erhöhung der Sicherheit, sondern um eine Reduzierung der Größe der Logfiles und Bans.

    das bekommst billiger ..., einfach Logs abdrehen :D

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Und dann sehe ich nicht, wenn mal wirklich jemand meinen Server hacken will (nicht nur irgendwelche bots oder Script Kiddies) nicht, wann das versucht wurde... Alles sehr sinnvolle Vorschläge hier, ich sehe schon.

  • Darf man fragen wie groß eure auth.log so mit der Zeit wird? Mit Firewall und nur PubKeyAuth bin ich jetzt bei 2,4 MB seit dem 2. Juli

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Meine auth.log Dateien seit dem 11.06.2018 haben 18120 Zeilen. Mit der Größe ists halt etwas schwer zu vergleichen, wenn die Log files dann noch komprimiert werden.


    Code
    zcat -f auth.log.* | wc -l
    18120

    Davon 5 sshd authentication failures:


    Code
    zcat -f auth.log.* | grep 'sshd.*authentication failure' | wc -l
    5

    Und alle 5 von mir selbst verursacht.


    Aber hey lasst eure Logs weiterhin zumüllen und verwendet brav den Port 22 ;)

  • Also evlt. ganz fett und deutlich, damit es auch jeder lesen kann: Es geht nicht um eine Erhöhung der Sicherheit, sondern um eine Reduzierung der Größe der Logfiles und Bans.

    Also die Tatsache, dass mam durch die Änderung des Ports potentielle Angreifer außen vor lässt, macht es für mich zu einem sicherheitsrelevanten Punkt.


    Wenn alle ihre Fahrräder außen vor dem Haus parken, wo ständig wer vorbei kommt und sie versucht zu klauen, ... Ich meins aber hinter dem Haus abstelle, wo keiner vorbei kommt ... ist es in meinem Augen sicherer.


    Klar kommt es auch auf das Schloss an. Und klar, wenn wer das Teil klauen will, schafft er es auch.


    Just my 5 Cents

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Ich sehe das in begrenztem Rahmen auch so.

    Ich interpretiere auch "Security through obscurity" oder auch "Sicherheit durch Unwissen" anders bzw. nicht so strikt: Der Begriff sagt ja grade aus, dass durch Verschleierung an Sicherheit dazu gewonnen wird. Es ist nicht die nachhaltigste oder beste Sicherheit, aber es ist eine. Am Ende des Tages geht es im Alltag darum, dass andere Ziele interessanter sind als du, und wenn du das erreichst ist das mEn ein valider Sicherheitszugewinn.

    Ebenso zählt Port-Knocking meiner Auffassung nach zu "Security through obscurity", was einige meiner Kollegen anders sehen; es ist aber am Ende des Tages das gleiche Prinzip.


    Ich hab mal in einem Auto eine Mechanik verbaut gesehen, dass man erst den Fensterheber betätigen muss, bevor man das Auto anschalten kann. Ich könnte mir vorstellen, dass das auch "Alltagsdiebstähle" abhält.


    Natürlich: Wenn es jemand auf dich abgesehen hat ist das kein realer Sicherheitsgewinn. Es ist also auch immer eine Frage des Sicherheitszugewinns im Bezug auf welches Szenario?

  • Zum Glück darf ja jeder seine eigene Meinung haben.

    Und ich persönlich bin jedem dankbar, der den SSH-Port nicht ändert (oder sein Fahrrad vorm Haus lässt ;)). Würden nämlich alle ihren Port ändern, würde es gar nichts mehr bringen.

  • Ich habe hier mal einen Erfahrungsbericht: Wir sind vor ein paar Monaten mit einem großen LXD-Host in das neue Produkt He***er Cloud umgezogen. Dort waren wir auf einem CEPH-Storage in Nürnberg untergebracht. Leider ist das Storage in den letzten Monaten so häufig ausgefallen, dass wir demnächst wieder zu netcup zurückkommen. Auch der Support ist langsam und am Wochenende nicht zu erreichen. Zusätzlich ist auch preislich bei netcup mehr drin.


    Wie so oft gilt also auch hier: Man weiß erst was man hatte, wenn man es nicht mehr hat. In dem Sinne: Hallo netcup, wir kommen zurück. Und sorry für den (kurzen) Seitensprung! ;)

    Ja, die Erfahrung habe ich auch gemacht. Stabilität ist definitiv etwas anderes als das was dort derzeit passiert.


    lg.

  • Ich hab mal in einem Auto eine Mechanik verbaut gesehen, dass man erst den Fensterheber betätigen muss, bevor man das Auto anschalten kann. Ich könnte mir vorstellen, dass das auch "Alltagsdiebstähle" abhält.


    München, Winter 2015?, -10°C Außentemp, Benziner (Heizung funktioniert via Kühlwasser - Auto wird also mit -10°C beheizt).

    KFZ stand länger auf dem Parkplatz, auf der Frontscheibe 5cm dickes Eis.


    Wenn das Fenster nicht aufgeht, geht mein Motor nicht an? - na gut, dann wird er zumindest nicht geklaut...

  • Der Fensterheber muss ja nicht das Fenster öffnen, sondern - soweit ich das verstanden habe - nur ausgelöst werden.

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • @H6G, du meinst eine simple 2FA? Dann kann ich doch auch gleich ein TOTP nehmen. Das ist dann wenigstens auch noch zeitlich begrenzt.


    PS: POP-before-SMTP nannte man das früher. Und irgendwann war POP tot :S

    "Security is like an onion - the more you dig in the more you want to cry"

  • @H6G, du meinst eine simple 2FA? Dann kann ich doch auch gleich ein TOTP nehmen. Das ist dann wenigstens auch noch zeitlich begrenzt.

    Ist IMHO kein zweiter Faktor. Nur eine authentifizierte Firewallfreigabe - im Idealfall mit den gleichen Zugangsdaten wie pam_unix.

    TOTP Token sind schwer über eine zentrale Nutzerverwaltung auszurollen.

  • PS: POP-before-SMTP nannte man das früher. Und irgendwann war POP tot :S

    POP gibt es nach wie vor, nicht immer ist IMAP zweckmäßig;

    mit POP-before-SMTP war der erste Schritt in Richtung SMTP zu kontrollieren;


    ich hab 2 Postfächer, enes das ich an meine Heizflosse angebunden habe

    und eines das nur dazu dienst, sämtliches von meinem Mailserver zu relayen,

    um es dann zu Hause per fetchmail abzuholen;


    ich hatte soeben einen Update-Marathon (CentOS 6.10 ist erschienen)

    - DNS-VM

    - Proxy-VM

    - Mailstore-VM

    - Mailsend-VM

    - Mailreceive-VM

    - Apache-VM

    - Router-Box

    - die VMs hier

    und auch Scientific Linux 6.10 ist ebenfalls erschienen

    - Desktop-VM

    ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)