Re: massenhaft versuche "einzubrechen" was kann ich machen
Matthias Homann schrieb: Am Mittwoch 28 Oktober 2009 schrieb robert rottermann:
hoi zäme, ich hab mal die logs eines suse 11.1 (vor kurzem von 10.? upgedated) rechner angeschaut. da finde ich massenhaft meldungen in /var/log/messages von der art
(ssh brute force attack logs) da kannst du gar nix machen ausser ssh von aussen zu zu machen... dann kannst du selber aber auch nicht mehr vom internetcafe aus "nach hause telefonieren". Empfehlenswerte sicherheitsmassnamen: ssh so konfigurieren dass nur bestimmte user von draussen rein dürfen, und das auch nur mit ssh key statt passwort. ... und wenn man im internet cafe seinen ssh key nicht reinstecken darf, hat man sich damit ausgesperrt. Ich habe den sshd darauf dressiert, dass Anmeldung mit PW nur von Adressen in D möglich ist - zum Skiurlaub kann ich das ja auf D und A umstellen. Datenbestand ist geoipfree von Maxmind Wolfgang Hamann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 28. Oktober 2009 08:53:32 schrieb hamann.w@t-online.de:
... und wenn man im internet cafe seinen ssh key nicht reinstecken darf, hat man sich damit ausgesperrt.
...wenn du SO dringend IMMER von ÜBERALL auf die server musst, hat dein chef dir gefälligst nen laptop und ne umts flatrate zu kaufen. Wenns privat ist kanns so dringend nicht sein ;) wenns denn auch privat unbedingt sein muss: netbook + umts handy + base flatrate. bye, mh -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Alternative, was ich einsetze ist eine gute firewall (cisco), VPN client, Notebook. Viele internet caffee's erlauben, das mit eigenem notebook verbunden Werden kann, und wenn du ein offenes WLaN findest einfach den VPN client starten Dann kannst du den port komplett dich machen - was ich sowieso machen wuerde
...wenn du SO dringend IMMER von ÜBERALL auf die server musst, hat dein chef dir gefälligst nen laptop und ne umts flatrate zu kaufen.
Wenns privat ist kanns so dringend nicht sein ;)
wenns denn auch privat unbedingt sein muss: netbook + umts handy + base flatrate.
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch 28 Oktober 2009 09:59:27 schrieb Juergen L:
Alternative, was ich einsetze ist eine gute firewall (cisco), VPN client, Notebook.
Ich frage mich gerade, ob es sicherer ist statt ssh vpn zu verwenden. Es geht um eine dynamische IP zu Hause und eine fixe IP am VPS. Wie schränkt man das Login per Keys auf Länder ein? Login per Username / PW ist sowieso nicht möglich. Mit fail2ban wurde ich nicht glücklich, keine Ahnung warum, aber mit denyhosts klappt es ganz gut. /etc/denyhosts.conf SECURE_LOG = /var/log/messages HOSTS_DENY = /etc/hosts.deny PURGE_DENY = 12h PURGE_THRESHOLD = 0 BLOCK_SERVICE = ALL DENY_THRESHOLD_INVALID = 1 DENY_THRESHOLD_VALID = 3 DENY_THRESHOLD_ROOT = 1 DENY_THRESHOLD_RESTRICTED = 1 WORK_DIR = /var/lib/denyhosts SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES HOSTNAME_LOOKUP=YES LOCK_FILE = /var/run/denyhosts.pid ADMIN_EMAIL = root@localhost SMTP_HOST = localhost SMTP_PORT = 25 SMTP_FROM = DenyHosts <nobody@localhost> SMTP_SUBJECT = DenyHosts Report SYSLOG_REPORT=NO ALLOWED_HOSTS_HOSTNAME_LOOKUP=YES AGE_RESET_VALID=5d AGE_RESET_ROOT=25d AGE_RESET_RESTRICTED=25d AGE_RESET_INVALID=10d DAEMON_LOG = /var/log/denyhosts DAEMON_LOG_TIME_FORMAT = %b %d %H:%M:%S DAEMON_LOG_MESSAGE_FORMAT = %(asctime)s - %(name)-12s: %(levelname)-8s %(message)s DAEMON_SLEEP = 30s DAEMON_PURGE = 1h Macht es Sinn da noch was zu verschärfen? /etc/ssh/sshd_config Protocol 2 LogLevel INFO LoginGraceTime 15 MaxAuthTries 1 PubkeyAuthentication yes PasswordAuthentication no ChallengeResponseAuthentication no KerberosAuthentication no UsePAM no X11Forwarding no ClientAliveCountMax 2 MaxStartups 5:80:6 Subsystem sftp /usr/lib/ssh/sftp-server AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT AcceptEnv LC_IDENTIFICATION LC_ALL Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 28.10.2009, hamann.w@t-online.de wrote:
... und wenn man im internet cafe seinen ssh key nicht reinstecken darf, hat man sich damit ausgesperrt.
Wer im Internet-Cafe einen key reinsteckt, ist ein Idiot. Und wer noch das Passwort dazu eingibt, der kann gleich einen offenen Server betreiben. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Al Bogner -
hamann.w@t-online.de -
Heinz Diehl -
Juergen L -
Mathias Homann