Hallo, Diese Ausgabe gab es für den Versuch eine ssh Verbindung von meinem Nootebook zu meinem Rechner aufzunehmen: ssh: connect to host 192.168.178.23 port 22: Connection timed out Danach habe ich mal die Firewall komplett abgeschaltet/gestopt. Siehe da es hat funktioniert. Kann man diesen Port 22 auch anders in den Griff bekommen ausser die ganze Firewall auszuknipsen? Gruß Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 21. Dezember 2011 23:55 schrieb Peter Benitz <p-benitz@t-online.de>:
Hallo, Diese Ausgabe gab es für den Versuch eine ssh Verbindung von meinem Nootebook zu meinem Rechner aufzunehmen: ssh: connect to host 192.168.178.23 port 22: Connection timed out Danach habe ich mal die Firewall komplett abgeschaltet/gestopt. Siehe da es hat funktioniert. Kann man diesen Port 22 auch anders in den Griff bekommen ausser die ganze Firewall auszuknipsen?
Port 22 oder Dienst SSH in die Ausnahme der Firewall mit reinsetzen.
Gruß Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
-- Mit freundlichen Grüßen Sebastian Gödecke -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Thu, Dec 22, 2011 at 12:02:09AM +0100, Sebastian Gödecke wrote:
Am 21. Dezember 2011 23:55 schrieb Peter Benitz <p-benitz@t-online.de>:
Hallo, Diese Ausgabe gab es für den Versuch eine ssh Verbindung von meinem Nootebook zu meinem Rechner aufzunehmen: ssh: connect to host 192.168.178.23 port 22: Connection timed out Danach habe ich mal die Firewall komplett abgeschaltet/gestopt. Siehe da es hat funktioniert. Kann man diesen Port 22 auch anders in den Griff bekommen ausser die ganze Firewall auszuknipsen?
Port 22 oder Dienst SSH in die Ausnahme der Firewall mit reinsetzen.
IMHO wäre es besser, einen Port über 6000 für den sshd auf dem remoten Device zu verwenden und genau diesen für einen ausgewählten IP-Adressbereich freizuschalten. Der Vorteil wäre dann, dass der Host nicht regelmäßig gescannt wird. Werner -- "Having a smoking section in a restaurant is like having a peeing section in a swimming pool." -- Edward Burr -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 22.12.2011 09:45, schrieb Dr. Werner Fink:
IMHO wäre es besser, einen Port über 6000 für den sshd auf dem remoten Device zu verwenden und genau diesen für einen ausgewählten IP-Adressbereich freizuschalten. Der Vorteil wäre dann, dass der Host nicht regelmäßig gescannt wird.
Oder fail2ban einsetzten Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 22. Dezember 2011 09:45 schrieb Dr. Werner Fink <werner@suse.de>:
IMHO wäre es besser, einen Port über 6000 für den sshd auf dem remoten Device zu verwenden und genau diesen für einen ausgewählten IP-Adressbereich freizuschalten. Der Vorteil wäre dann, dass der Host nicht regelmäßig gescannt wird.
Security by obscurity. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 22 Dec 2011 10:11:18 +0100 schrieb Martin Schröder <martin@oneiros.de>:
Am 22. Dezember 2011 09:45 schrieb Dr. Werner Fink <werner@suse.de>:
IMHO wäre es besser, einen Port über 6000 für den sshd auf dem remoten Device zu verwenden und genau diesen für einen ausgewählten IP-Adressbereich freizuschalten. Der Vorteil wäre dann, dass der Host nicht regelmäßig gescannt wird.
Security by obscurity.
wieso? Werner hat nicht gesagt, das sich dadurch die Sicherheit erhöht! Es hilft halt wirklich nur dabei, sich die ganzen dämlichen Kiddies vom Leib zu halten, die einfach einen IP-Bereich nach offenen SSH-Servern scannen, und dann mit tausend verschiedenen User/PW-Kombinationen im Logfile auftauchen. Das nervt und ist so einfach zu verhindern... Detlef -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 22. Dezember 2011 10:29 schrieb Detlef Reichelt <detlef@die-mafia.de>:
Leib zu halten, die einfach einen IP-Bereich nach offenen SSH-Servern scannen, und dann mit tausend verschiedenen User/PW-Kombinationen im Logfile auftauchen. Das nervt und ist so einfach zu verhindern...
Stimmt. Das ist aber Sache des Firewalls, nicht des Services. fail2ban und den sshd auf Keys umstellen. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Donnerstag, 22. Dezember 2011, 11:48:57 schrieb Martin Schröder:
Am 22. Dezember 2011 10:29 schrieb Detlef Reichelt <detlef@die- mafia.de>:
Leib zu halten, die einfach einen IP-Bereich nach offenen SSH-Servern scannen, und dann mit tausend verschiedenen User/PW-Kombinationen im Logfile auftauchen. Das nervt und ist so einfach zu verhindern...
Stimmt. Das ist aber Sache des Firewalls, nicht des Services. fail2ban und den sshd auf Keys umstellen.
Die Keys ändern nicht am nervigen Rauschen in den Logfiles. Das Ändern des Ports erhöht nicht die Sicherheit, verkleinert aber die Logfiles ganz erheblich, verbessert die Übersicht und spart Ressourcen. Das Ändern des Ports ist natürlich auch keine Funktion der Firewall, sondern eine Option, die der Service selbst anbietet. Wenn das einen angenehmen Nebeneffekt hat, spricht nichts dagegen, diese Option zu nutzen. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Thu, Dec 22, 2011 at 10:29:31AM +0100, Detlef Reichelt wrote:
Am Thu, 22 Dec 2011 10:11:18 +0100 schrieb Martin Schröder <martin@oneiros.de>:
Am 22. Dezember 2011 09:45 schrieb Dr. Werner Fink <werner@suse.de>:
IMHO wäre es besser, einen Port über 6000 für den sshd auf dem remoten Device zu verwenden und genau diesen für einen ausgewählten IP-Adressbereich freizuschalten. Der Vorteil wäre dann, dass der Host nicht regelmäßig gescannt wird.
Security by obscurity.
wieso? Werner hat nicht gesagt, das sich dadurch die Sicherheit erhöht! Es hilft halt wirklich nur dabei, sich die ganzen dämlichen Kiddies vom Leib zu halten, die einfach einen IP-Bereich nach offenen SSH-Servern scannen, und dann mit tausend verschiedenen User/PW-Kombinationen im Logfile auftauchen. Das nervt und ist so einfach zu verhindern...
Kiddies ist gut ;) ... nun, ohne sehe in meinen Log der firewall und des sshd daheim jede Menge scans aus dem russischem, chinesischen, und hinundwieder aus völlig obskuren Gegenden der Welt, die dann alle 5 Minuten auf Port 22 versuchen, sich als root einzuloggen ... IMHO sind das automatische bots, die jeden und jedes scannen, um ihr botnetz zu vergrößern. Ich hatte schlicht keine Lust mehr darauf. Werner -- "Having a smoking section in a restaurant is like having a peeing section in a swimming pool." -- Edward Burr -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Donnerstag, 22. Dezember 2011, 12:13:02 schrieb Dr. Werner Fink:
On Thu, Dec 22, 2011 at 10:29:31AM +0100, Detlef Reichelt wrote:
Am Thu, 22 Dec 2011 10:11:18 +0100
Hallo, danke erst mal für die rege Beteiligung an diesem Thema. Für mich,der wahrscheinlich am wenigsten Ahnung hat,fällt es jetzt allerdings schwer ein Fazit zu ziehen. Momentan läuft es so,das der Dienst in den Firewalleinstellungen erlaubt bzw. hizugefügt ist. Soweit so gut? Besser würde mir allerdings die Version von Werner Fink gefallen. Nur weiß ich nicht genau wie sie umzusetzen ist. Vor dem ganzen System steht ja auch noch ein Router der die Adressvergabe regelt.Der sollte da ja wohl mit einbezogen sein oder verstehe ich was falsch? Tips und Anregungen sind wilkommen.
schrieb Martin Schröder <martin@oneiros.de>:
Am 22. Dezember 2011 09:45 schrieb Dr. Werner Fink <werner@suse.de>:
IMHO wäre es besser, einen Port über 6000 für den sshd auf dem remoten Device zu verwenden und genau diesen für einen ausgewählten IP-Adressbereich freizuschalten. Der Vorteil wäre dann, dass der Host nicht regelmäßig gescannt wird.
Security by obscurity.
wieso? Werner hat nicht gesagt, das sich dadurch die Sicherheit erhöht! Es hilft halt wirklich nur dabei, sich die ganzen dämlichen Kiddies vom Leib zu halten, die einfach einen IP-Bereich nach offenen SSH-Servern scannen, und dann mit tausend verschiedenen User/PW-Kombinationen im Logfile auftauchen. Das nervt und ist so einfach zu verhindern...
Kiddies ist gut ;) ... nun, ohne sehe in meinen Log der firewall und des sshd daheim jede Menge scans aus dem russischem, chinesischen, und hinundwieder aus völlig obskuren Gegenden der Welt, die dann alle 5 Minuten auf Port 22 versuchen, sich als root einzuloggen ... IMHO sind das automatische bots, die jeden und jedes scannen, um ihr botnetz zu vergrößern.
Ich hatte schlicht keine Lust mehr darauf.
Gruß Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 22. Dezember 2011 17:30 schrieb Peter Benitz <p-benitz@t-online.de>:
Am Donnerstag, 22. Dezember 2011, 12:13:02 schrieb Dr. Werner Fink:
On Thu, Dec 22, 2011 at 10:29:31AM +0100, Detlef Reichelt wrote:
Am Thu, 22 Dec 2011 10:11:18 +0100
Hallo, danke erst mal für die rege Beteiligung an diesem Thema. Für mich,der wahrscheinlich am wenigsten Ahnung hat,fällt es jetzt allerdings schwer ein Fazit zu ziehen. Momentan läuft es so,das der Dienst in den Firewalleinstellungen erlaubt bzw. hizugefügt ist. Soweit so gut? Besser würde mir allerdings die Version von Werner Fink gefallen. Nur weiß ich nicht genau wie sie umzusetzen ist. Vor dem ganzen System steht ja auch noch ein Router der die Adressvergabe regelt.Der sollte da ja wohl mit einbezogen sein oder verstehe ich was falsch? Tips und Anregungen sind wilkommen.
Beim Router einen Port (z.B. 22222 auf den Port 22 deines Linuxsystems weiterleiten) Das ist ein System, was bei dir zu Hause privat genutzt wird ?
schrieb Martin Schröder <martin@oneiros.de>:
Am 22. Dezember 2011 09:45 schrieb Dr. Werner Fink <werner@suse.de>:
IMHO wäre es besser, einen Port über 6000 für den sshd auf dem remoten Device zu verwenden und genau diesen für einen ausgewählten IP-Adressbereich freizuschalten. Der Vorteil wäre dann, dass der Host nicht regelmäßig gescannt wird.
Security by obscurity.
wieso? Werner hat nicht gesagt, das sich dadurch die Sicherheit erhöht! Es hilft halt wirklich nur dabei, sich die ganzen dämlichen Kiddies vom Leib zu halten, die einfach einen IP-Bereich nach offenen SSH-Servern scannen, und dann mit tausend verschiedenen User/PW-Kombinationen im Logfile auftauchen. Das nervt und ist so einfach zu verhindern...
Kiddies ist gut ;) ... nun, ohne sehe in meinen Log der firewall und des sshd daheim jede Menge scans aus dem russischem, chinesischen, und hinundwieder aus völlig obskuren Gegenden der Welt, die dann alle 5 Minuten auf Port 22 versuchen, sich als root einzuloggen ... IMHO sind das automatische bots, die jeden und jedes scannen, um ihr botnetz zu vergrößern.
Ich hatte schlicht keine Lust mehr darauf.
Gruß Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
-- Mit freundlichen Grüßen Sebastian Gödecke -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Donnerstag, 22. Dezember 2011, 17:43:08 schrieb Sebastian Gödecke:
Beim Router einen Port (z.B. 22222 auf den Port 22 deines Linuxsystems weiterleiten) Das ist ein System, was bei dir zu Hause privat genutzt wird ?
ich habe bei mir 2 SSH-Server am laufen. einer hört auf Port 22 und erlaubt das Anmelden innerhalb des WLAN/LAN von jedem benutzer aus, Authentoifizierung mit ÜPasswort erlaubt. So kann sich root (zu backupzwecken) auf root eines anderen Rechners (mit keyfiles) automatisiert anmelden, oder eben ich als admin per ssh auf einem anderen rechner als root. Macht das Leben leicht. der zweite ssh-Server hört auf einen anderen Port XYZ , hier ist der Zugang eingeschränkt: Nur ein spezieller Benutzer mit "nicht-standard-namen" darf sich anmelden, root überhaupt nicht, keine Passwörter, sondern nur keyfile. Dieser Port wird vom Router aus "angesteuert", d.h. auf meinem Router habe ich eine Port-Weiterleitung 22->XYZ eingerichtet. Damit kann ich mich von ausserhalb (also aus "dem" Internet zuhause anmelden). Damit hat man Bequemlichkeit (lokales ssh ist easy) und sicherheit (nur keyfiles, kein root, unüblicher username) von aussen. Den zweiten Server starten ist leicht: cp /etc/sshd/sshd_config /etc/sshd/sshd_config-extern Port und andere Sachen in /etc/sshd/sshd_config-extern anpassen: Subsystem sftp /usr/lib64/ssh/sftp-server Port 9876 PermitRootLogin no PasswordAuthentication no UsePAM no AllowUsers MurzelSchnups UsePrivilegeSeparation yes und insserv oder graphisch via yast den 2. Server starten Bye Jürgen -- Dr.rer.nat. Jürgen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org -------------------------------------------------------------------------------
Am Donnerstag, 22. Dezember 2011, 17:43:08 schrieb Sebastian Gödecke:
Am 22. Dezember 2011 17:30 schrieb Peter Benitz <p-benitz@t-online.de>:
Am Donnerstag, 22. Dezember 2011, 12:13:02 schrieb Dr. Werner Fink:
On Thu, Dec 22, 2011 at 10:29:31AM +0100, Detlef Reichelt wrote:
Am Thu, 22 Dec 2011 10:11:18 +0100 Hallo Sebastian!
Hallo, danke erst mal für die rege Beteiligung an diesem Thema. Für mich,der wahrscheinlich am wenigsten Ahnung hat,fällt es jetzt allerdings schwer ein Fazit zu ziehen. Momentan läuft es so,das der Dienst in den Firewalleinstellungen erlaubt bzw. hizugefügt ist. Soweit so gut? Besser würde mir allerdings die Version von Werner Fink gefallen. Nur weiß ich nicht genau wie sie umzusetzen ist. Vor dem ganzen System steht ja auch noch ein Router der die Adressvergabe regelt.Der sollte da ja wohl mit einbezogen sein oder verstehe ich was falsch? Tips und Anregungen sind wilkommen.
Beim Router einen Port (z.B. 22222 auf den Port 22 deines Linuxsystems weiterleiten) Das ist ein System, was bei dir zu Hause privat genutzt wird ?
So ist es.Vom Notebook in der Küche zum Rechner im OG. Was dein Vorschlag anbetrifft sind wir dann aber wieder bei Port 22. Zwinged ist es ja wohl nicht bei diesem Port zu bleiben. Laut Wikipedia: "Die IANA hat dem Protokoll den TCP-Port 22 zugeordnet, jedoch lassen sich in den Konfigurationsdateien des Daemons auch beliebige andere Ports auswählen, um z.B. Angriffe zu erschweren, da der SSH-Port dem Angreifer nicht bekannt ist." Und wenn ich den Werner Fink richtig verstanden habe, hilft eine andere Portwahl und ein festgelegter IP-Adressbereich(statisch?) die blödsinnigen Logversuche einzudämmen und somit auch die Flut der Protokolle.Oder?
schrieb Martin Schröder <martin@oneiros.de>:
Am 22. Dezember 2011 09:45 schrieb Dr. Werner Fink <werner@suse.de>:
IMHO wäre es besser, einen Port über 6000 für den sshd auf dem remoten Device zu verwenden und genau diesen für einen ausgewählten IP-Adressbereich freizuschalten. Der Vorteil wäre dann, dass der Host nicht regelmäßig gescannt wird.
Security by obscurity.
wieso? Werner hat nicht gesagt, das sich dadurch die Sicherheit erhöht! Es hilft halt wirklich nur dabei, sich die ganzen dämlichen Kiddies vom Leib zu halten, die einfach einen IP-Bereich nach offenen SSH-Servern scannen, und dann mit tausend verschiedenen User/PW-Kombinationen im Logfile auftauchen. Das nervt und ist so einfach zu verhindern...
Kiddies ist gut ;) ... nun, ohne sehe in meinen Log der firewall und des sshd daheim jede Menge scans aus dem russischem, chinesischen, und hinundwieder aus völlig obskuren Gegenden der Welt, die dann alle 5 Minuten auf Port 22 versuchen, sich als root einzuloggen ... IMHO sind das automatische bots, die jeden und jedes scannen, um ihr botnetz zu vergrößern.
Ich hatte schlicht keine Lust mehr darauf.
Gruß Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Gruß Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Donnerstag 22 Dezember 2011 schrieb Peter Benitz:
Am Donnerstag, 22. Dezember 2011, 17:43:08 schrieb Sebastian Gödecke:
[...]
Das ist ein System, was bei dir zu Hause privat genutzt wird ?
So ist es.Vom Notebook in der Küche zum Rechner im OG.
Da hast Du keine Zugriffe von außen drauf. Außer Dein Router macht Murks. Also kannst Du bei Port 22 bleiben und einfach diesen freigeben. Helga -- ## Technik: [http://de.opensuse.org] ## Politik: [http://www.piratenpartei.de] ## Privat: [http://www.eschkitai.de] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Donnerstag, 22. Dezember 2011, 19:47:49 schrieb Helga Fischer:
Am Donnerstag 22 Dezember 2011 schrieb Peter Benitz:
Am Donnerstag, 22. Dezember 2011, 17:43:08 schrieb Sebastian
Hallo , deinen Beitrag versteh ich jetzt nicht ganz.
Gödecke:
[...]
Das ist ein System, was bei dir zu Hause privat genutzt wird ?
So ist es.Vom Notebook in der Küche zum Rechner im OG.
Da hast Du keine Zugriffe von außen drauf. Außer Dein Router macht Murks.
Was meinst du denn konkret damit?
Also kannst Du bei Port 22 bleiben und einfach diesen freigeben.
Helga
Gruß Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Peter, Am Donnerstag 22 Dezember 2011 schrieb Peter Benitz:
Am Donnerstag, 22. Dezember 2011, 19:47:49 schrieb Helga Fischer:
Am Donnerstag 22 Dezember 2011 schrieb Peter Benitz:
Am Donnerstag, 22. Dezember 2011, 17:43:08 schrieb Sebastian
Hallo , deinen Beitrag versteh ich jetzt nicht ganz.
Deine Rechner kommunizieren doch nur im Haus, sprich im Privaten Netz.
So ist es.Vom Notebook in der Küche zum Rechner im OG.
Da hast Du keine Zugriffe von außen drauf. Außer Dein Router macht Murks.
Was meinst du denn konkret damit?
Dass eine gezielte Anfrage von draußen auf Dein Laptop nicht möglich ist. Standardmäßig, vermute ich, weist Dein Router solchen Anfragen an Port 22 (und alle anderen Ports ab). Wenn Dein Router ausführlich loggt, könntest Du dort diese Versuche sehen. Wer einen Rechner mit einer öffentlichen IP betreibt, hat das Vergnügen sozusagen täglich. Auch eine dynamische IP ist von diesen Anfragen betroffen, aber ohne die Logs kriegt man das nicht mit und auf den Otto-Normal-Routern läuft auch kein ssh. (Ich habe früher mal einen PC als Router verwendet und die Firewall-Logs mitgelesen - erstaunlich, was da so versucht wird). Helga -- ## Technik: [http://de.opensuse.org] ## Politik: [http://www.piratenpartei.de] ## Privat: [http://www.eschkitai.de] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Peter Benitz [22.12.2011 17:30]:
Am Donnerstag, 22. Dezember 2011, 12:13:02 schrieb Dr. Werner Fink:
On Thu, Dec 22, 2011 at 10:29:31AM +0100, Detlef Reichelt wrote:
Am Thu, 22 Dec 2011 10:11:18 +0100
Hallo, danke erst mal für die rege Beteiligung an diesem Thema. Für mich,der wahrscheinlich am wenigsten Ahnung hat,fällt es jetzt allerdings schwer ein Fazit zu ziehen. Momentan läuft es so,das der Dienst in den Firewalleinstellungen erlaubt bzw. hizugefügt ist. Soweit so gut? Besser würde mir allerdings die Version von Werner Fink gefallen. Nur weiß ich nicht genau wie sie umzusetzen ist. Vor dem ganzen System steht ja auch noch ein Router der die Adressvergabe regelt.Der sollte da ja wohl mit einbezogen sein oder verstehe ich was falsch? Tips und Anregungen sind wilkommen.
Hallo Peter, wenn das System nur zu Hause, also innerhalb Deines LANs, genutzt wird, musst Du für Werners Lösung Deinen SSH-Server auf einen anderen Port laufen lassen. Auf welchen Port er lauscht, steht in der Datei /etc/ssh/sshd_config, und zwar wird da jetzt stehen #Port 22 das # am Anfang bedeutet, dass es ein Kommentar ist, dass also der Defaultwert (22) aktiv ist. Du kannst hier eine andere Zahl zwischen 1024 und 65535 eintragen. Beispiel: Port 2222 ohne '#' am Anfang. Die Zahl solltest Du Dir merken, weil Du sie beim Verbinden von einem anderen Host aus brauchst ;-) Von einem anderen Host verbindest Du Dich z. B. mit "ssh user@host". Die geänderte Portnummer musst Du nun mit angeben, z. B. als "ssh -p 2222 user@host". Innerhalb Deines lokalen Netzes sollten allerdings keine portscannenden Besucher auftreten, sonst hast Du ein ganz anderes Problem ;-) Wenn Du auf Deinen ssh-Server "von außen", also übers Internet zugreifen willst, gilt das, was Sebastian geschrieben hat. Sebastians und Werners Hinweise lassen sich auch kombinieren :-) - und der Port "innen" und "außen" kann unterschiedlich sein. HTH Werner (aber ein anderer) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.18 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAk7zYJIACgkQk33Krq8b42NjmACdEz+UUwNYOYFMkD5ipKPE3N01 QVwAnjFzEUTytL3QAVQyx+VY4tEs+p1n =h1XU -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 22.12.2011 17:30, schrieb Peter Benitz:
Am Donnerstag, 22. Dezember 2011, 12:13:02 schrieb Dr. Werner Fink:
On Thu, Dec 22, 2011 at 10:29:31AM +0100, Detlef Reichelt wrote:
Am Thu, 22 Dec 2011 10:11:18 +0100
Hallo, danke erst mal für die rege Beteiligung an diesem Thema. Für mich,der wahrscheinlich am wenigsten Ahnung hat,fällt es jetzt allerdings schwer ein Fazit zu ziehen. Momentan läuft es so,das der Dienst in den Firewalleinstellungen erlaubt bzw. hizugefügt ist. Soweit so gut? Besser würde mir allerdings die Version von Werner Fink gefallen. Nur weiß ich nicht genau wie sie umzusetzen ist. Vor dem ganzen System steht ja auch noch ein Router der die Adressvergabe regelt.Der sollte da ja wohl mit einbezogen sein oder verstehe ich was falsch? Tips und Anregungen sind wilkommen.
Immer noch fail2ban. Jede IP unter der sich mehr als z.B. 3 Mal falsch anmeldet wird für z.B. 24 gesperrt. Damit bleiben die Logs überichtlich aber du siehst noch was versucht wird. fail2ban bigt es als Suse-RPM. Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Freitag, 23. Dezember 2011 schrieb Ralf Prengel:
Immer noch fail2ban. Jede IP unter der sich mehr als z.B. 3 Mal falsch anmeldet wird für z.B. 24 gesperrt. Damit bleiben die Logs überichtlich aber du siehst noch was versucht wird. fail2ban bigt es als Suse-RPM.
Versteht sich denn fail2ban auch gut mit SuSEfirewall2? bye, MH -- gpg key fingerprint: 5F64 4C92 9B77 DE37 D184 C5F9 B013 44E7 27BD 763C () ascii ribbon campaign against HTML e-mail /\ www.asciiribbon.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 23.12.2011 07:59, schrieb Mathias Homann:
Am Freitag, 23. Dezember 2011 schrieb Ralf Prengel:
Immer noch fail2ban. Jede IP unter der sich mehr als z.B. 3 Mal falsch anmeldet wird für z.B. 24 gesperrt. Damit bleiben die Logs überichtlich aber du siehst noch was versucht wird. fail2ban bigt es als Suse-RPM.
Versteht sich denn fail2ban auch gut mit SuSEfirewall2?
Einfach probieren. http://www.howtoforge.com/forums/showthread.php?t=25472 http://www.howtoforge.de/anleitung/verhindern-von-brute-force-attacken-mit-f... http://www.pcwelt.de/forum/linux-distributionen/356129-opensuse-11-1-server-... http://www.fail2ban.org/wiki/index.php/FAQ_german Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
[23.12.2011 07:59] [Mathias Homann]:
Am Freitag, 23. Dezember 2011 schrieb Ralf Prengel:
Immer noch fail2ban. Jede IP unter der sich mehr als z.B. 3 Mal falsch anmeldet wird für z.B. 24 gesperrt. Damit bleiben die Logs überichtlich aber du siehst noch was versucht wird. fail2ban bigt es als Suse-RPM.
Versteht sich denn fail2ban auch gut mit SuSEfirewall2?
Das hat nichts miteinander zu tun :-) Jedenfalls nicht zwangsweise... Fail2Ban kümmert sich um Sachen, die durch die Firewall durchgehen. Installiere das Paket und schau Dir die Konfigurationsdateien an. Für ssh gibt es beispielsweise zwei Arten, wie fail2ban reagieren kann: zum einen kann es iptables-Regeln erstellen (und nach bestimmter Zeit wieder zurückstellen) [ssh-iptables], zum anderen kann es mit /etc/hosts.allow und /etc/hosts.deny arbeiten [ssh-tcpwrapper]. Wenn Dir das Arbeiten mit den iptables-Regeln zu gefährlich erscheint (wegen Interaktion mit der SuSEfirewall), kannst Du immer noch den anderen "Jail" aktivieren. Aktiviere besser nicht beide, das kann zu Verknotungen führen ;-). Pro Dienst nur einen Jail aktivieren - beide funktionieren, also reicht das auch. Ich selbst betreibe für meinen Arbeitgeber einen NX-Server direkt am Internet, ohne Firewall auf der Maschine, und Fail2ban hilft sehr gut, die Logs übersichtlich zu halten. Mit Port 22 für den sshd, übrigens :-) - und Anmeldeverbot für root. Man gönnt sich ja sonst nichts :-D Gruß Werner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 22.12.2011 09:45, schrieb Dr. Werner Fink:
Am 21. Dezember 2011 23:55 schrieb Peter Benitz<p-benitz@t-online.de>:
ssh: connect to host 192.168.178.23 port 22: Connection timed out
[...]
Der Vorteil wäre dann, dass der Host nicht regelmäßig gescannt wird.
Ich nehm mal an, dass der Host nicht all zu oft von außerhalb des privaten Netzes erreicht wird... Gruß Uli -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Donnerstag, 22. Dezember 2011, 00:02:09 schrieb Sebastian Gödecke:
Am 21. Dezember 2011 23:55 schrieb Peter Benitz <p-benitz@t-online.de>:
Hallo, Diese Ausgabe gab es für den Versuch eine ssh Verbindung von meinem Nootebook zu meinem Rechner aufzunehmen: ssh: connect to host 192.168.178.23 port 22: Connection timed out Danach habe ich mal die Firewall komplett abgeschaltet/gestopt. Siehe da es hat funktioniert. Kann man diesen Port 22 auch anders in den Griff bekommen ausser die ganze Firewall auszuknipsen?
Port 22 oder Dienst SSH in die Ausnahme der Firewall mit reinsetzen.
So, oder wenn das Yast-Modul zu konfiguration vom sshd installiert ist kann man dort ein Häckchen für die Freigabe des Dienstes in der Firewall setzen. Diese Option bieten übrigens (alle) Yast-Module zur Konfiguration eines Netzwerkdienstes an, z.B. NFS oder NTP. MfG Marco
participants (13)
-
Detlef Reichelt -
Dr. Jürgen Vollmer -
Dr. Werner Fink -
Helga Fischer -
Juergen Langowski -
Marco Röben -
Martin Schröder -
Mathias Homann -
Peter Benitz -
Ralf Prengel -
Sebastian Gödecke -
Ulrich Gehauf -
Werner Flamme