Posts by AquaPhantom

    Na super jetzt weis ich wieder nicht was ich tun soll und ob es sich lohnt WireGuard für den SSH Zugang zu nutzen.

    Derzeit nutze ich für SSH nur einen passkey und der root ist abgeschalten sowie nutze ich einen anderen Port.. Zusätzlich habe ich noch knockd als Dienst eingerichtet.

    Habe jetzt mehrfach gelesen, dass einige von euch hier den SSH-Zugang hinter WireGuard VPN setzen und somit den Zugriff erlauben.

    Ich überlege derzeit, ob ich meine Server ebenfalls so absichern sollte.

    Nutzt ihr für WireGuard einen eigenen Server oder lasst ihr das auf dem jeweiligen Server laufen? Hat vielleicht auch jemand ein gutes Tutorial, um das Ganze einzurichten?

    Hallo zusammen,

    ich habe bei meiner Überwachung festgestellt, dass die Netzwerkschnittstelle eth0 meines Root-Servers täglich einmal in den promiskuitiven Modus wechselt und dann wieder zurückkehrt. Dies konnte ich nun über mehrere Tage hinweg beobachten.

    Ich bin etwas besorgt, da ich keinerlei Änderungen am Netzwerksetup vorgenommen habe und der promiskuitive Modus normalerweise für spezielle Netzwerkanalysen gedacht ist. Tritt dieses Verhalten auch bei anderen von euch auf? Könnte es eine reguläre Funktion sein, oder sollte ich mir Sorgen um die Sicherheit meines Servers machen?

    Kann mir mal bitte jemand erklären was das ganze mit Wireguard sicherer werden soll? Wireguard ist doch nur ein VPN?

    Ich dachte sicherer geht nur, wenn ein kleinen VPS oder RS mit OpenSense baut und darüber zuerst alls laufen lässt, oder bin ich jetzt irgendwie total daneben?


    Bud

    Hatte gestern den Port auf einen Wert geändert der nicht auf der Liste steht udn seitdem hatte ich auch Ruhe.

    Hallo zusammen ich mal wieder,


    ich habe einige Sicherheitsbedenken bezüglich meines Root-Servers und möchte mich gerne absichern. Ich habe bereits einige Maßnahmen ergriffen, bin aber immer noch besorgt über mögliche Angriffe. Hier ist, was ich bisher getan habe:

    • SSH-Zugriff nur mit Schlüsseln und Änderung des Standardports.
    • Verwendung von ufw zur Firewall-Verwaltung.
    • Installation von Fail2Ban zur Abwehr von Brute-Force-Angriffen.
    • Regelmäßige System- und Paketupdates.
    • Verwendung von AIDE zur Überwachung der Systemintegrität.
    • Installation und Konfiguration von AppArmor.
    • Nutzung von Suricata zur Netzwerküberwachung.

    Bisher habe ich nur die Absicherung vorgenommen. Als nächstes plane ich, Python mit Flask, eine PostgreSQL-Datenbank und einige Python-Skripte zu installieren.

    Trotzdem habe ich Angst, etwas falsch konfiguriert zu haben. Was könnte im schlimmsten Fall passieren, wenn eine Konfiguration nicht korrekt ist? Welche zusätzlichen Maßnahmen könnt ihr empfehlen, um meinen Server besser zu sichern? Gibt es spezifische Best Practices oder Tools, die ich noch in Betracht ziehen sollte?


    Vielen Dank im Voraus für eure Hilfe!

    Ich habe seit neusten einem RS und habe vorher nur zur Hause in der VM probiert und geübt. Nun bin ich am übelregen ob ich alles richtig gemacht habe oder nicht.

    Auf jeden Fall bekomme ich mehrfach am Tag Mails von fail2ban mit folgendem Text das einige IPS etwas versucht haben.

    Diese werden natürlich gebannt, aber 2-3 x am Tag kommt sowas rein und nun vermute ich einen Fehler zu haben.


    Lines containing failures of 43.134.75.120 (max 1000)

    2024-06-05T14:19:57.157148+02:00 v2202404190794263410 sshd[42252]: Connection from 43.134.75.120 port 42756 on <meineIP> port 2222 rdomain ""

    2024-06-05T14:19:59.103287+02:00 v2202404190794263410 sshd[42252]: Connection closed by authenticating user root 43.134.75.120 port 42756 [preauth]

    2024-06-05T14:20:06.547103+02:00 v2202404190794263410 sshd[42254]: Connection from 43.134.75.120 port 55212 on <meineIP> port 2222 rdomain ""

    2024-06-05T14:20:08.509852+02:00 v2202404190794263410 sshd[42254]: Invalid user guest1 from 43.134.75.120 port 55212

    2024-06-05T14:20:08.904654+02:00 v2202404190794263410 sshd[42254]: Connection closed by invalid user guest1 43.134.75.120 port 55212 [preauth]

    2024-06-05T14:20:16.145372+02:00 v2202404190794263410 sshd[42257]: Connection from 43.134.75.120 port 40186 on <meineIP> port 2222 rdomain ""

    2024-06-05T14:20:18.170748+02:00 v2202404190794263410 sshd[42257]: Connection closed by authenticating user root 43.134.75.120 port 40186 [preauth]

    2024-06-05T14:20:25.467250+02:00 v2202404190794263410 sshd[42259]: Connection from 43.134.75.120 port 52310 on <meineIP> port 2222 rdomain ""

    2024-06-05T14:20:27.338935+02:00 v2202404190794263410 sshd[42259]: Connection closed by authenticating user root 43.134.75.120 port 52310 [preauth]

    2024-06-05T14:20:34.672924+02:00 v2202404190794263410 sshd[42261]: Connection from 43.134.75.120 port 35968 on <meineIP> port 2222 rdomain ""

    2024-06-05T14:20:36.609512+02:00 v2202404190794263410 sshd[42261]: Connection closed by authenticating user root 43.134.75.120 port 35968 [preauth]

    2024-06-05T14:20:43.904052+02:00 v2202404190794263410 sshd[42263]: Connection from 43.134.75.120 port 48136 on <meineIP> port 2222 rdomain ""

    2024-06-05T14:20:45.922198+02:00 v2202404190794263410 sshd[42263]: Connection closed by authenticating user root 43.134.75.120 port 48136 [preauth]

    2024-06-05T14:20:53.267124+02:00 v2202404190794263410 sshd[42265]: Connection from 43.134.75.120 port 60506 on <meineIP> port 2222 rdomain ""

    2024-06-05T14:20:55.226018+02:00 v2202404190794263410 sshd[42265]: Connection closed by authenticating user root 43.134.75.120 port 60506 [preauth]

    2024-06-05T14:21:02.517736+02:00 v2202404190794263410 sshd[42267]: Connection from 43.134.75.120 port 44618 on <meineIP> port 2222 rdomain ""

    2024-06-05T14:21:04.510039+02:00 v2202404190794263410 sshd[42267]: Connection closed by authenticating user root 43.134.75.120 port 44618 [preauth]

    2024-06-05T14:21:11.825583+02:00 v2202404190794263410 sshd[42269]: Connection from 43.134.75.120 port 56658 on <meineIP> port 2222 rdomain ""

    2024-06-05T14:21:13.460987+02:00 v2202404190794263410 sshd[42269]: Invalid user test2 from 43.134.75.120 port 56658

    2024-06-05T14:21:13.812604+02:00 v2202404190794263410 sshd[42269]: Connection closed by invalid user test2 43.134.75.120 port 56658 [preauth]

    2024-06-05T14:21:21.277125+02:00 v2202404190794263410 sshd[42272]: Connection from 43.134.75.120 port 40520 on <meineIP> port 2222 rdomain ""

    2024-06-05T14:21:23.192226+02:00 v2202404190794263410 sshd[42272]: Invalid user backups from 43.134.75.120 port 40520

    2024-06-05T14:21:23.653821+02:00 v2202404190794263410 sshd[42272]: Connection closed by invalid user backups 43.134.75.120 port 40520 [preauth]


    SSH Port ist geändert und auch Root Login Ausgeschalten soweit kommt nur mein User mit Key drauf.


    Edit: Gibt es hier oder irgendwo Leute, welch meinen Server testen auf Sicherheitslücken?

    Ich bin bisher mit Ubuntu unterwegs gewesen, doch mein neuer Arbeitgeber nutzt Debian, und ich wollte es daher gleich mal auf meinem frischen Root-Server nutzen.

    Nun stellt sich die Frage, ob ich noch mit Bullseye anfangen oder gleich mit Bookworm starten sollte.


    Die längere Unterstützung würde natürlich für Bookworm sprechen, doch Bullseye ist schon länger auf dem Markt und besser getestet worden. Die Kompatibilität könnte auch besser zu Softwarepaketen sein, aber dafür könnten neue Funktionen eventuell rausfallen.


    Für den Anfang sollen ein Webserver und ein Datenbankserver auf dem Gerät laufen.

    Und schon wieder hätte ich eine Frage zum SCP


    Habe mein Server via poweroff abgeschaltet und unter Allgemein wird auch angeziegt das er ausgeschalten ist, aber im Protokoll kann ich hierzu keine Einträge finden.

    Werden da nur Aktivitäten angezeigt welche im SCP über die Oberfläche gemacht werden protokolliert?

    Bud

    Danke für den Tipp mit der VNC


    hilde

    Fail2Ban eingerichtet und meine IP geblockt.
    Da ich eine feste IP habe lässt diese sich auch nicht so leicht ändern.


    Hab mich grad über einen VPN eingeloggt, meine IP entblockt und jetzt geht es wieder.

    Ach so, Passphrase und KW auch nochmals geändert, man weis ja nie was mitgelesen wird :)

    Meine Sicherheitsvorkehrungen scheinen zu greifen, jetzt habe ich mich beim ersten doch glatte gebannt.
    Wollte mich über die Konsole im CCP einloggen, doch irgendwie funktioniert C&P nicht?


    Habe es mit Safari, Firefox und Chrome probiert, nichts.... Habe ich vlt. was übersehen?

    . Es wird sich nur angemeldet, um sich zu beschweren, OBWOHL seitens netcup vorab darauf hingewiesen wurde...

    Auch wenn Sie darauf hingewiesen haben, wieso sind die Produkte dann als Lieferbar angegeben? Dann sollte beim Bestellen wenigstens etwas kommen, das es derzeit Probleme und längere Wartezeiten gibt. Und das stand bei meinem bestellten nicht dabei.