Posts by Paule72

    Hallo Vivian,


    ich kann da nicht wirklich helfen, aber vielleicht solltest du den letzten Satz klarstellen. Ich kann als Nameserver wählen zwischen "Netcup Nameserver (empfohlen)" und "eigene Nameserver". Was ist bei dir eingestellt?


    Paule

    Oder ist der SSH-Key auch mit einem Passwort belegt?

    Du kannst den Key mit einer Passphrase verschlüsseln, das geht auch nachträglich. "Passphrase" deutet schon an, dass das etwas länger sein sollte. Falls jemand an deinen Key kommt, dann kann er bei sich lokal versuchen, den zu entschlüsseln. Also kann er sehr viele Versuche pro Sekunde durchführen, deswegen: ordentlich lang und aus keinem Wörterbuch. Wenn es dann beim Eingeben nervt: ssh-agent verwenden, dann muss man das nur einmal pro Boot eingeben.


    Ein sehr langes Passwort auf dem Server halte ich auch für sicher. Du musst halt sicherstellen, dass alle User, für die ein ssh-login möglich ist, so ein gutes Passwort haben. Falls du nur selbst drauf willst: erlaube den ssh-login nur für dich.

    Ruhe im Logfile ist auch, wenn man den sshd nur auf einer eigenen ipv6 Adresse lauschen lässt. Man muss natürlich bei allen Clients ipv6 haben. Für die Sicherheit sorgt man weiterhin mit Login nur per Key.

    Wenn du davon ausgehen musst, dass ein Bot da reinkommt, dann reduziert das Verlegen des Ports ein wenig die Wahrscheinlichkeit. Aber du musst immer noch davon ausgehen, dass einer reinkommt. Die Argumente aus dem Blog (fake sshd, Anwendungsprobleme) halte ich nicht für falsch, aber das passiert auch alles nicht so leicht.


    Ich denke, man kann den Port schon verlegen, um mehr Ruhe im Log zu haben (wenn es geht, lasse ich sshd nur auf ipv6 lauschen, das bringt noch mehr Ruhe). Als Sicherheitsfeature ist es bei weitem nicht ausreichend.