Hallo, Am Freitag, den 18.01.2008, 14:19 +0100 schrieb Michael Raab:
Am Freitag, 18. Januar 2008 12:41:43 schrieb Marco Roeben:
On Freitag, 18. Januar 2008, Juergen Langowski wrote:
Gleiches gilt für das SSH-Login. Aus Sicherheitsgründen lassen wir nur noch Login mit Key für einen normalen Benutzer zu (nicht root) und haben außerdem den Port verlegt, was die meisten automatisierten Skripte ins Leere laufen lässt und die Logfiles erheblich übersichtlicher macht.
Es sollte zur Vollständigkeit aber auch erwähnt werden, dass aus manchen Netzen die restiriktiveren Firewallregeln unterliegen ein Zugriff auf einen anderen als Port 22 nicht erlaubt sein könnte. Bevor man sich also selber von seinem Server aussperrt lieber vorher schlau machen. Das war auch der Grund warum ich den Port von meinem SSH-Server wieder zurück auf 22 legen musste.
Ich habe in meinem heimischen Netzwerk SSH an der Hardwarefirewall Dicht gemacht. Wenn ich denn mal via SSH mit meinem Serverpark Kontakt aufnehmen muss, verbinde ich mit meinem Schleppi via VPN mit der Heimat, wo dann wieder SSH möglich ist. Denn diese automatisierten Zugriffe sprengten hier fast die Festplatten. 20 - 30 Tausend Zugriffe pro Tag waren keine Seltenheit.
Ich verwende auf meinen Servern das Tool denyhosts - bei Debian Etch und Ubuntu seit 6.06 standardmäßig Bestandteil der Distribution - um die unerwünschten Kontaktaufnahmen auszusperren. Nach einer einstellbaren Anzahl von Kontaktversuchen, werden weitere Versuche abgewiesen. Hat sich für mich als sehr wirksam gezeigt. Dann gibt's auch noch Tools zur umgehenden Entdeckung neuer oder veränderter Binaries in vorgewählten Verzeichnissen (Standard: /bin, /sbin und /usr/bin bzw. /usr/sbin) durch ebenfalls einstellbar regelmäßigen (täglichen/stündlichen) Abgleich der Checksum mit den gespeicherten Sollwerten des nicht infizierten Systems. Man muss nur daran denken, nach dem Einspielen von Patches die Datenbank neu zu initalisieren, um Fehlalarme zu vermeiden ;-) Äußerst wichtig sicher auch die lange von vielen Providern nicht angebotenen Firewall-Funktionen, die alle Ports dicht machen, die nicht unbedingt gebraucht werden. Herzlicher Gruß Dr. Reiner Pietrzak <suse@crasswerk.de> Abonnierte SuSE Mailinglisten -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org