Das Ausgabeformat von ifconfig
Bitte bedenken, dass zumindest auf Debian-Systemen ifconfig veraltet ist und durch ip ersetzt wurde/wird. In Stretch und Buster ist ifconfig per default nicht installiert.
Das Ausgabeformat von ifconfig
Bitte bedenken, dass zumindest auf Debian-Systemen ifconfig veraltet ist und durch ip ersetzt wurde/wird. In Stretch und Buster ist ifconfig per default nicht installiert.
Bitte bedenken, dass zumindest auf Debian-Systemen ifconfig veraltet ist und durch ip ersetzt wurde/wird. In Stretch und Buster ist ifconfig per default nicht installiert.
Das kann einfach durch apt-get install net-tools wieder installiert werden, wenn man es noch braucht.
Ich finde den neuen Befehl ip nicht so Übersichtlich, weil der Text nicht untereinander steht wie man es von ifconfig oder ipconfig von Windows kennt.
PS: Frohe Weihnachten
Das kann einfach durch apt-get install net-tools wieder installiert werden, wenn man es noch braucht.
Ich finde den neuen Befehl ip nicht so Übersichtlich, weil der Text nicht untereinander steht wie man es von ifconfig oder ipconfig von Windows kennt.
Naja, kommt darauf an, wie und mit welchen Parametern man es verwendet. Mit "-br" etwa bekommst Du die Einrückungen und eine kompakte Anzeige.
"-s" gibt kompakte Statistiken - kombiniert mit "-h" ergibt human readable Zahlenwerte.
Mit "-r" werden rDNS-Namen aufgelöst. Man kann auf ifconfig so wohl in den meisten Fällen verzichten.
Das kann einfach durch apt-get install net-tools wieder installiert werden
Ja, aber wenn man auf Usability guckt schlecht das als Abhängigkeit eines Scriptes vorauszusetzen. Wenn etwas deprecated ist sollte man sich das neue angucken. Irgendwann wird ifconfig weg sein und dann muss man sich unweigerlich umgewöhnen. Noch hat man Zeit und beides zur Verfügung.
Bitte bedenken, dass zumindest auf Debian-Systemen ifconfig veraltet ist und durch ip ersetzt wurde/wird. In Stretch und Buster ist ifconfig per default nicht installiert.
Ich verstehe gar nicht, was ihr hier so diskutiert, immerhin nutze ich den Befehl garnicht in meinem Script. Das Problem bzw. der Fakt, dass diese Anwendung mittlerweile durch den Befehl ip ersetzt wurde ist mir bekannt und ich habe es berücksichtigt. Schaut doch einfach mal in den Quellcode.
Kann man mit den neuen Regeln UFW testen? Ich glaube es sollte unabhängig sein, oder?
Das ist halt so ein Problemchen... die neuen "Regeln", bei denen mit nmap gearbeitet wird, funktionieren nicht. Zumindest mein Server hat trotz geschlossener Ports durch IPtables die Ports als offen anerkannt. Aufgrund der verschiedenen Möglichkeiten, eine Firewall aufzustellen (ufw, iptables, nftables, ...), bin ich mir bei der ganzen Geschichte noch nicht sicher, wie ich es schlussendlich mache. Nach wie vor bin ich da für Ideen offen.
Alles anzeigenEs wird Logs auf low beanstandet bei:
# Logging
SyslogFacility AUTHPRIV
LogLevel VERBOSE
Es wird erlaubte Passwortauthentifizierung beanstandet bei:PasswordAuthentication no
#PermitRootLogin yes
PermitRootLogin prohibit-password
AuthenticationMethods publickey
Ich kann mir das ehrlich gesagt nicht erklären. Nutzt du die aktuellste Version des Scripts? Und welche Debian Version nutzt du?
Könntest du mir evtl. mal deine gesamte sshd_config (von mir aus auch per PN) zukommen lassen, sodass ich da mal auf Fehlersuche gehen könnte?
Ich verstehe gar nicht, was ihr hier so diskutiert, immerhin nutze ich den Befehl garnicht in meinem Script. Das Problem bzw. der Fakt, dass diese Anwendung mittlerweile durch den Befehl ip ersetzt wurde ist mir bekannt und ich habe es berücksichtigt. Schaut doch einfach mal in den Quellcode.
Wegen des Vorschlags/Beispiels von m_ueberall betreffend Portscans.
Lass uns doch den Thread ein bisserl hijacken. Nur ein bisserl
Ich darf hier noch keine Direktnachrichten schicken.
# Diese sshd_config folgt vielen Empfehlungen, außer: root darf einloggen und der Port bleibt auf 22.
# Dafür darf der Login aber überhaupt nur von 3 IPs erfolgen.
# PAM ist eingeschaltet, dies verwenden aber auch andere Applikationen
Port 22
ListenAddress IP HOME
ListenAddress CONTROLSERVER 1
ListenAddress CONTROLSERVER 2
# Specifies the available KEX (Key Exchange) algorithms.
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
# Specifies the ciphers allowed
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
#Specifies the available MAC (message authentication code) algorithms
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
HostKeyAlgorithms ssh-ed25519,rsa-sha2-256,rsa-sha2-512,ssh-rsa-cert-v01@openssh.com
SyslogFacility AUTHPRIV
LogLevel VERBOSE
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM yes
PrintMotd no
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/ssh/sftp-server -f AUTHPRIV -l INFO
PasswordAuthentication no
PermitRootLogin prohibit-password
AuthenticationMethods publickey
Alles anzeigen
Das Problem war auch hier:
https://forum.netcup.de/sonsti…debian-server/#post130988
UFW wäre noch schön. Man könnte auch ein Script für einen 2ten Server bereitstellen?
Deine Config ergibt bei mir folgendes:
#### SSH server ####
Check: Is the login as root via SSH disabled?
Result: [x] Login as root via SSH is enabled, change PermitRootLogin in /etc/ssh/sshd_config to no!
Check: Is the SSH server using the standard port?
Result: [!] The SSH port is at the standard port! Please consider to change it to another port, to get avoid of the biggest part of bot attacks!
Check: Does the SSH server allow logins without a password?
Result: [✓] The login via SSH without a password is disabled!
Check: Is it possible to use password authentication for SSH login?
Result: [✓] SSH authentication via password is disabled and limited to KeyPair/PublicKey!
Check: Is the SSH login restricted to specific users?
Result: [x] The SSH login is not restricted to your personal user(s). Please add the line 'AllowUsers <username(s)>' to /etc/ssh/sshd_config! (If there is more than one user, use a whitespace-separated list)
Check: Is the SSH server only using pre-defined KexAlgorithms, Ciphers, MACs and HostKeyAlgorithms?
Result: [✓] The SSH server is using pre-defined KexAlgorithms, Ciphers, MACs and HostKeyAlgorithms!
Check: Is the loglevel set to verbose?
Result: [✓] The SSH server will log every login attempt!
Alles anzeigen
Also entweder magst du mich ärgern, du hast mir eine andere config geschickt oder das Script ist nicht aktuell. Mach mal ein git pull in dem Ordner vom Script.
UFW wäre noch schön.
Es macht keinen Sinn, zu testen, ob da irgendwie ne ufw, iptables oder nftables ist, wenn die dann Kacke konfiguriert ist. Ich muss irgendwie versuchen, dass sich das System selbst scannen kann. Wie ich das anstelle, weiß ich halt noch nicht so ganz... Ich brauche Ideen, und zwar nicht für "was", sondern für "wie".
Noch nicht ausprobiert aber Ping auf Port vom externen Interface?
Also entweder magst du mich ärgern, du hast mir eine andere config geschickt oder das Script ist nicht aktuell. Mach mal ein git pull in dem Ordner vom Script.
Es macht keinen Sinn, zu testen, ob da irgendwie ne ufw, iptables oder nftables ist, wenn die dann Kacke konfiguriert ist. Ich muss irgendwie versuchen, dass sich das System selbst scannen kann. Wie ich das anstelle, weiß ich halt noch nicht so ganz... Ich brauche Ideen, und zwar nicht für "was", sondern für "wie".
Ok, ich komme nun auch auf dieses Ergebnis. Passt.
Wenn es einen externen Dienst gibt, dem man vertrauen kann, dann könnte man einfach den Link mit Parametern (IP. etc. übergeben) generieren, sodass sich der User dies dann selbst in den Browser oder die Shell mit wget hineinkopieren kann. Das wäre am einfachsten umgesetzt und nicht fehleranfällig.
Oder ein Script welches auf einem 2ten Server (im Notfall Windows Cygwin) läuft. Dabei könntest du deine bisherige Arbeit wiederverwerten in dem die Anfrage von außen kommt.
Ich muss irgendwie versuchen, dass sich das System selbst scannen kann. Wie ich das anstelle, weiß ich halt noch nicht so ganz... Ich brauche Ideen, und zwar nicht für "was", sondern für "wie".
Linktip: Tor/Usage/Nmap-scan-through-tor (Praktisch aber IMHO nur nutzbar, wenn man hinterher problemlos wieder aufräumen/deinstallieren kann – via Docker/Podman bzw. lxc/lxd o.ä.; schon wesentlich "schwergewichtiger" als ein einzelnes Script, da vorgenanntes "Aufräumen" ggf. auch die Container-Infrastruktur selbst beinhalten muss. Als DIY-Alternative wäre die Einbindung verschiedener (kommerzieller) Werkzeuge/Dienste denkbar, welche bspw. nmap-Scan-Reports anbieten.)