Mailinglist Archive: opensuse-de (977 mails)
| < Previous | Next > |
Re: massenhaft versuche "einzubrechen" was kann ich machen
- From: Markus Heinze <max@xxxxxxxxxxxx>
- Date: Fri, 30 Oct 2009 07:57:58 +0100
- Message-id: <4AEA8E76.800@xxxxxxxxxxxx>
Moin moin,
Erik P. Roderwald schrieb:
rebellieren, du bist Admin du musst dich durchsetzen gerade bei
sicherheitsrelevanten Sachen, hier gehts um essentielle Sachen und nicht
darum ob der User ein Hintergrundbild setzen darf oder nicht. Ja weiss
dummer Vergleich, so wie die meisten Vergleiche aber ich denk Du
verstehst was ich meine.
Allerdings ist es manchmal einfach nicht möglich Key's einzusetzen,
meist wenn verschiedene Systemgenerationen aufeinandertreffen, in diesem
Fall ist 'pam_abl' dringend anzuraten
meist wenn verschiedene Systemgenerationen aufeinandertreffen, in diesem
Fall ist 'pam_abl' dringend anzuraten, wenn möglich würde ich mich
trotzalledem für Key's entscheiden, dies mach ich jetzt seit knapp 6
Jahren und niemand hat damit ein Problem.
verschwinden, ist sicherlich immer an die 'Intelligenz' der Bot's gebunden.
Ansonsten ist intern ein bebildertes Howto wie der Zugang einzurichten
ist,da ausser dem Port auch Zeichensatzcodierung und Terminalstrings zu
setzen sind. Es hat sich noch nie jemand darüber beschwert und wer es
damit nicht honbekommt sollte auch keinen SSH Zugriff haben.
nur wer Zugriff braucht wird wirklich eine Shell bekommen und wenn man
das vergisst bekommt man schnell entsprechendes Feedback, andersrum net ;)
Erfolg bringen dürften.
lg max
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
Erik P. Roderwald schrieb:
Hallo zusammen,Naja 'neue' Sachen empfinden die meisten User als unbequem und
On Mittwoch 28 Oktober 2009, Markus Heinze wrote:
Nunja, hier ein kleiner Tipp
1.) Anmelden nur mit Public Key's erzwingen
Das ist nicht immer praktikabel. Ich betreue Server, auf die ich
auch DAUs per ssh zugreifen lassen muss. Wenn ich den allen
erklären müsste, wie sie per key ssh benutzen, müsste ich die
Wartungskosten verdoppeln. ;)
rebellieren, du bist Admin du musst dich durchsetzen gerade bei
sicherheitsrelevanten Sachen, hier gehts um essentielle Sachen und nicht
darum ob der User ein Hintergrundbild setzen darf oder nicht. Ja weiss
dummer Vergleich, so wie die meisten Vergleiche aber ich denk Du
verstehst was ich meine.
Allerdings ist es manchmal einfach nicht möglich Key's einzusetzen,
meist wenn verschiedene Systemgenerationen aufeinandertreffen, in diesem
Fall ist 'pam_abl' dringend anzuraten
Allerdings ist es manchmal einfach nicht möglich Key's einzusetzen,2.) PAM Auth deaktivieren
Warum das? Auf jeden Fall pam_abl konfigurieren und benutzen.
Wies eigentlich immer fail2ban? Die pam-Module sind alle da. Man
muss sie nur installieren und nutzen. Das ist wirklich denkbar
einfach.
meist wenn verschiedene Systemgenerationen aufeinandertreffen, in diesem
Fall ist 'pam_abl' dringend anzuraten, wenn möglich würde ich mich
trotzalledem für Key's entscheiden, dies mach ich jetzt seit knapp 6
Jahren und niemand hat damit ein Problem.
ACK3.) root login deaktiviern !!
Der ist afaik von vornherein deaktiviert. Alles andere ist
Wahnsinn. Das gilt natürlich nicht für gemietete Server. Da
kriegt man meist erstmal nur das root-Passwort. Dann ist das
erste, was man tut, den Zugang für root zu sperren. Nein, das
zweite. Erst muss ein anderer user eingerichtet werden. Und eine
Konsole immer schön offen halten, falls was schief geht. ;)
Also ich hab die Erfahrung gemacht das dadurch mehr als 90% der Angriffe4.) SSHD auf einen andern Port legen, das knockt schon die
meisten dummies aus
Bringt nicht wirklich was außer Ärger mit den usern. Jedes Mal,
wenn die einen neuen SSH-Client installiert haben, muss man
denen erklären, dass sie einen anderen Port einstellen müssen.
Der kann ruhig so bleiben, wie er ist.
verschwinden, ist sicherlich immer an die 'Intelligenz' der Bot's gebunden.
Ansonsten ist intern ein bebildertes Howto wie der Zugang einzurichten
ist,da ausser dem Port auch Zeichensatzcodierung und Terminalstrings zu
setzen sind. Es hat sich noch nie jemand darüber beschwert und wer es
damit nicht honbekommt sollte auch keinen SSH Zugriff haben.
ist eh erstmal default, dies verhindert das man vergisst es zu setzen,
5.) ggf. denyhosts einführen, dann wird der Angreifer nach x
fehlversuchen gesperrt für Zeit x, aber vorsicht das kann
einen auch selbst treffen (bei zu vielen fehlerhaften logins)
!!
Auf jeden Fall IPs und auch user nach zu vielen Fehlversuchen für
eine Stunde (oder bei noch mehr Versuchen) auch mal so für einen
Tag aussperren. Das hilft ungemein. Vor dieser Maßnahme konnte
ich meine Wände mit den Logeinträgen täglich neu tapezieren.
Nach einer Weile spricht sich das rum und siehe da, heute hatte
ich genau 0 Einträge, die auf einen Brute-Force-Angriff
hinweisen würden. Endlich kann man /var/log/messages wieder
lesen und findet die relevanten Dinge gleich. ;)
Und noch ein letztes. Um das Risiko möglichst gering zu halten,
kann man auch bei Usern, die sowieso nicht ssh nutzen sollen,
in /etc/passwd die Standardshell auf /bin/false einstellen.
nur wer Zugriff braucht wird wirklich eine Shell bekommen und wenn man
das vergisst bekommt man schnell entsprechendes Feedback, andersrum net ;)
hthNaja so hat jeder seine Ansichten, wobei denk ich beide den erwünschten
Liebe Grüße
Erik
Erfolg bringen dürften.
lg max
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |