Wenn man sich auf ssh über IPv6 beschränken kann, dann ist das Grundrauschen auch leicht zu beseitigen: sshd nur auf eine IPv6-Adresse lauschen lassen, die für nichts anderes benutzt wird. Und natürlich nicht ...::1, ...:22 und dergleichen nehmen.
Posts by Paule72
-
-
Oder gibt es irgendeine dubiose Funktion in chown, die einen "." erlaubt? Wäre mir zumindest jetzt neu.
Das chown hier (chown (GNU coreutils) 8.32 auf opensuse leap 15.4) nimmt den "." klaglos anstelle des ":". Also chown user.group file funktioniert. Ich habe das jahrelang mit "." gemacht, bis mir mal jemand gesagt hat, das sei falsch. Laut manpage ist es auch falsch.
-
Wird ja auch oft gemacht:
https://metrics.torproject.org/bubbles.html#as
(Maus über die Grafik bewegen)
-
Das wird nix - der Mailserver verwendet immer die physische IP für den Versand.
Wieso sollte smtp_bind_address nicht funktionieren?
-
Einzig zu den Angeboten in der dortigen Serverbörse habe ich etwas von einer Preiserhöhung gelesen, aber nicht dass sich das auf Bestandsserver bezieht.
Habe eine Erhöhung bekommen, darin sprechen sie von "vielen besonders knapp kalkulierten Bestandsservern aus der Serverbörse", die betroffen seien.
-
Mal eine Frage zu Zugangsschutz mit Port-Knocking, iptables und fail2ban: Macht ihr das, weil ihr keinen key-only Login nutzen könnt oder wollt?
Bisher habe ich mit Zugang nur per ssh-key eigentlich keine Bedenken, ohne irgendwelchen weiteren Schutz. Und wenn ich Ruhe im Log haben will, dann gibt's ssh nur auf IPv6, und zwar auf einer nur dafür verwendeten Adresse. Dann ist da völlige Ruhe.
-
Nutzt hier eigentlich jemand OpenSUSE auf seinen Servern und mag mal ein bisschen diesbezüglich plaudern?
Ich bin auf Arbeit oft auf SLES unterwegs und das macht nen ganz soliden Eindruck.
Nutzen ja, zu einer Plauderei werde ich aber nicht viel beitragen können. Erstens hab ich nicht viel am Laufen, zweitens kenn ich praktisch nix anderes. Benutze seit Jahrzehnten Opensuse (hieß bloß früher anders), zuhause, auf Arbeit und auf dem einen oder anderen Server. Hatte nie einen ernstlichen Grund, mir was anders genauer anzuschauen.
-
Hallo Vivian,
ich kann da nicht wirklich helfen, aber vielleicht solltest du den letzten Satz klarstellen. Ich kann als Nameserver wählen zwischen "Netcup Nameserver (empfohlen)" und "eigene Nameserver". Was ist bei dir eingestellt?
Paule
-
netcup.de offline ?
egal welcher Browser ... überall genau nichts *G
Jetzt geht es wieder.
-
Also anders ausgedrückt: in der Praxis ist die Bestpreisgarantie irrelevant, da nie anwendbar.
-
Hab grade mal kurz nach "Fairdenken" geschaut, boah, wird mir übel ... "The great reset", geht's noch?
-
Oder ist der SSH-Key auch mit einem Passwort belegt?
Du kannst den Key mit einer Passphrase verschlüsseln, das geht auch nachträglich. "Passphrase" deutet schon an, dass das etwas länger sein sollte. Falls jemand an deinen Key kommt, dann kann er bei sich lokal versuchen, den zu entschlüsseln. Also kann er sehr viele Versuche pro Sekunde durchführen, deswegen: ordentlich lang und aus keinem Wörterbuch. Wenn es dann beim Eingeben nervt: ssh-agent verwenden, dann muss man das nur einmal pro Boot eingeben.
Ein sehr langes Passwort auf dem Server halte ich auch für sicher. Du musst halt sicherstellen, dass alle User, für die ein ssh-login möglich ist, so ein gutes Passwort haben. Falls du nur selbst drauf willst: erlaube den ssh-login nur für dich.
-
Ruhe im Logfile ist auch, wenn man den sshd nur auf einer eigenen ipv6 Adresse lauschen lässt. Man muss natürlich bei allen Clients ipv6 haben. Für die Sicherheit sorgt man weiterhin mit Login nur per Key.
-
Der Netcup interne Traffic bleibt RZ intern, und spielt sich im Rahmen von 300 bis 600 Nanosekunden ab.
Bist du sicher mit der Einheit? Das reicht bei Lichtgeschwindigkeit im Vakuum für 90 bis 180 Meter, wenn ich richtig rechne.
-
Die "Public IP" an dem blauen Kästchen ist nicht die IP, die vom Openvpn Server vergeben wird. Da entsteht noch ein virtuelles Interface (tun), das nur innerhalb des "Customer Application Server" sichtbar ist, und das erhält die Adresse vom Openvpn-Server.
-
Wenn du davon ausgehen musst, dass ein Bot da reinkommt, dann reduziert das Verlegen des Ports ein wenig die Wahrscheinlichkeit. Aber du musst immer noch davon ausgehen, dass einer reinkommt. Die Argumente aus dem Blog (fake sshd, Anwendungsprobleme) halte ich nicht für falsch, aber das passiert auch alles nicht so leicht.
Ich denke, man kann den Port schon verlegen, um mehr Ruhe im Log zu haben (wenn es geht, lasse ich sshd nur auf ipv6 lauschen, das bringt noch mehr Ruhe). Als Sicherheitsfeature ist es bei weitem nicht ausreichend.
-
Wenn es geht: ssh Server nur auf ipv6 schafft Ruhe.
