Hallo, Am Freitag, den 18.01.2008, 14:19 +0100 schrieb Michael Raab:
Am Freitag, 18. Januar 2008 12:41:43 schrieb Marco Roeben:
On Freitag, 18. Januar 2008, Juergen Langowski wrote:
Gleiches gilt für das SSH-Login. Aus Sicherheitsgründen lassen wir nur noch Login mit Key für einen normalen Benutzer zu (nicht root) und haben außerdem den Port verlegt, was die meisten automatisierten Skripte ins Leere laufen lässt und die Logfiles erheblich übersichtlicher macht.
Es sollte zur Vollständigkeit aber auch erwähnt werden, dass aus manchen Netzen die restiriktiveren Firewallregeln unterliegen ein Zugriff auf einen anderen als Port 22 nicht erlaubt sein könnte. Bevor man sich also selber von seinem Server aussperrt lieber vorher schlau machen. Das war auch der Grund warum ich den Port von meinem SSH-Server wieder zurück auf 22 legen musste.
Ich habe in meinem heimischen Netzwerk SSH an der Hardwarefirewall Dicht gemacht. Wenn ich denn mal via SSH mit meinem Serverpark Kontakt aufnehmen muss, verbinde ich mit meinem Schleppi via VPN mit der Heimat, wo dann wieder SSH möglich ist. Denn diese automatisierten Zugriffe sprengten hier fast die Festplatten. 20 - 30 Tausend Zugriffe pro Tag waren keine Seltenheit.
Ich verwende auf meinen Servern das Tool denyhosts - bei Debian Etch und
Ubuntu seit 6.06 standardmäßig Bestandteil der Distribution - um die
unerwünschten Kontaktaufnahmen auszusperren. Nach einer einstellbaren
Anzahl von Kontaktversuchen, werden weitere Versuche abgewiesen. Hat
sich für mich als sehr wirksam gezeigt.
Dann gibt's auch noch Tools zur umgehenden Entdeckung neuer oder
veränderter Binaries in vorgewählten Verzeichnissen
(Standard: /bin, /sbin und /usr/bin bzw. /usr/sbin) durch ebenfalls
einstellbar regelmäßigen (täglichen/stündlichen) Abgleich der Checksum
mit den gespeicherten Sollwerten des nicht infizierten Systems. Man muss
nur daran denken, nach dem Einspielen von Patches die Datenbank neu zu
initalisieren, um Fehlalarme zu vermeiden ;-)
Äußerst wichtig sicher auch die lange von vielen Providern nicht
angebotenen Firewall-Funktionen, die alle Ports dicht machen, die nicht
unbedingt gebraucht werden.
Herzlicher Gruß
Dr. Reiner Pietrzak