Huede82 schrieb:
klar, Port wurde schon umgestellt auf einen 5 stelligen.
Man kann den Zugriff auf bestimmte IPs beschränken oder Zugriff von Ländern zulassen oder verweigern
Sehr gute Tipps! (Wirklich?)
So etwas nennen wir
Security through obscurity – Wikipedia
Das ständige automatisierte (!) Rütteln an mit ssh gesicherten Zugängen ist das normale Rauschen des Internets. Wer ssh zur Fernwartung oder in Form von sftp zur Datenübertragung benötigt, muss damit leben. Aber tut uns das wirklich weh? (Außer, dass es die Logs vollmüllt)
Was ich von einer Begrenzung der IP oder gar dem Verbiegen des ssh-Ports von :22 auf einen anderen Port halte => siehe oben.
Ja, Scriptkiddies kann man damit ausbremsen. (OK, das ist die Masser der sichtbaren (!) "Angreifer".) Aber die richten auch keinen Schaden an. Ein geloggter "Angriff" ist ein abgewehrter Angriff.
Angriffe von Fachleuten werden so gut wie nicht geloggt - und durch die o.g. Methoden auch in keinster Weise verhindert.
Klar kann man die IP fälschen (Proxy zum Beispiel). Wenn man jedoch nur IPs von Deuschland zulässt: so viele öffentliche Proxys in Deutschland gibt's auch nicht. Ist für den Angreifer wieder eine Hürde mehr.
Was die
zusätzliche Hürde betrifft - meine volle Zustimmung.
Autoblock und ein langes Passwort was nicht im Wörterbuch steht ist meiner Meinung nach der beste Schutz.
Autoblock (oder fail2ban und ähnliche Programme) ist kein Schutz vor Angriffen. Angriffe werden damit
wirkungsvoll verlangsamt. Ja, auch so langsam gemacht, dass die meisten "Angreifer" aufgeben. Aber professionelle Angreifer haben Zeit! Und wenn jede Stunde vollautomatisch ein Versuch gestartet wird.
Ein gutes Passwort (Länge, Zeichenumfang, Zufälligkeit und auch dessen
regelmäßiger Wechsel) ist immer gut. In meinen Augen der zweitbeste Schutz.
Aber der einzige wirkungsvolle Schutz, gerade bei ssh, ist die Anwendung kryptografischer Verfahren zur Authentisierung!
Wo liegt das Problem, auf einem bzw. allen zugriffsberechtigten Rechner/n je ein Schlüsselpaar mit 4K-Schlüsseln zu erzeugen (Linux: ssh-keygen -b 4096, für die WinDOSe ins Putty-Format konvertieren) und den public key dann beim anmeldeberechtigten Nutzer (root) in die ~/.ssh/authorized_keys des Servers zu kopieren. Noch in der sshd_config (nach dem erfolgreichen Test der neuen Anmeldung!) die Anmeldung mit Benutzername+Passwort verbieten und fertig ist.
Ich kann nicht verstehen, wieso diese Art der Anmeldung hier im Forum nicht favorisiert wird.
Wer einen sshd ohne PubkeyAuthentication frei ins Netzt stellt, der handelt IMHO einfach nur fahrlässig.
So, ich bin jetzt bereit, zerissen zu werden ;-)
MfG Peter
