Posts by Paule72

    Mal eine Frage zu Zugangsschutz mit Port-Knocking, iptables und fail2ban: Macht ihr das, weil ihr keinen key-only Login nutzen könnt oder wollt?


    Bisher habe ich mit Zugang nur per ssh-key eigentlich keine Bedenken, ohne irgendwelchen weiteren Schutz. Und wenn ich Ruhe im Log haben will, dann gibt's ssh nur auf IPv6, und zwar auf einer nur dafür verwendeten Adresse. Dann ist da völlige Ruhe.

    Nutzt hier eigentlich jemand OpenSUSE auf seinen Servern und mag mal ein bisschen diesbezüglich plaudern?


    Ich bin auf Arbeit oft auf SLES unterwegs und das macht nen ganz soliden Eindruck.

    Nutzen ja, zu einer Plauderei werde ich aber nicht viel beitragen können. Erstens hab ich nicht viel am Laufen, zweitens kenn ich praktisch nix anderes. Benutze seit Jahrzehnten Opensuse (hieß bloß früher anders), zuhause, auf Arbeit und auf dem einen oder anderen Server. Hatte nie einen ernstlichen Grund, mir was anders genauer anzuschauen.

    Hallo Vivian,


    ich kann da nicht wirklich helfen, aber vielleicht solltest du den letzten Satz klarstellen. Ich kann als Nameserver wählen zwischen "Netcup Nameserver (empfohlen)" und "eigene Nameserver". Was ist bei dir eingestellt?


    Paule

    Oder ist der SSH-Key auch mit einem Passwort belegt?

    Du kannst den Key mit einer Passphrase verschlüsseln, das geht auch nachträglich. "Passphrase" deutet schon an, dass das etwas länger sein sollte. Falls jemand an deinen Key kommt, dann kann er bei sich lokal versuchen, den zu entschlüsseln. Also kann er sehr viele Versuche pro Sekunde durchführen, deswegen: ordentlich lang und aus keinem Wörterbuch. Wenn es dann beim Eingeben nervt: ssh-agent verwenden, dann muss man das nur einmal pro Boot eingeben.


    Ein sehr langes Passwort auf dem Server halte ich auch für sicher. Du musst halt sicherstellen, dass alle User, für die ein ssh-login möglich ist, so ein gutes Passwort haben. Falls du nur selbst drauf willst: erlaube den ssh-login nur für dich.

    Ruhe im Logfile ist auch, wenn man den sshd nur auf einer eigenen ipv6 Adresse lauschen lässt. Man muss natürlich bei allen Clients ipv6 haben. Für die Sicherheit sorgt man weiterhin mit Login nur per Key.

    Wenn du davon ausgehen musst, dass ein Bot da reinkommt, dann reduziert das Verlegen des Ports ein wenig die Wahrscheinlichkeit. Aber du musst immer noch davon ausgehen, dass einer reinkommt. Die Argumente aus dem Blog (fake sshd, Anwendungsprobleme) halte ich nicht für falsch, aber das passiert auch alles nicht so leicht.


    Ich denke, man kann den Port schon verlegen, um mehr Ruhe im Log zu haben (wenn es geht, lasse ich sshd nur auf ipv6 lauschen, das bringt noch mehr Ruhe). Als Sicherheitsfeature ist es bei weitem nicht ausreichend.