Am Mittwoch 28 Oktober 2009 09:59:27 schrieb Juergen L:
Alternative, was ich einsetze ist eine gute firewall (cisco), VPN client,
Notebook.
Ich frage mich gerade, ob es sicherer ist statt ssh vpn zu verwenden. Es geht
um eine dynamische IP zu Hause und eine fixe IP am VPS.
Wie schränkt man das Login per Keys auf Länder ein? Login per Username / PW
ist sowieso nicht möglich.
Mit fail2ban wurde ich nicht glücklich, keine Ahnung warum, aber mit denyhosts
klappt es ganz gut.
/etc/denyhosts.conf
SECURE_LOG = /var/log/messages
HOSTS_DENY = /etc/hosts.deny
PURGE_DENY = 12h
PURGE_THRESHOLD = 0
BLOCK_SERVICE = ALL
DENY_THRESHOLD_INVALID = 1
DENY_THRESHOLD_VALID = 3
DENY_THRESHOLD_ROOT = 1
DENY_THRESHOLD_RESTRICTED = 1
WORK_DIR = /var/lib/denyhosts
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES
LOCK_FILE = /var/run/denyhosts.pid
ADMIN_EMAIL = root@localhost
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts
SMTP_SUBJECT = DenyHosts Report
SYSLOG_REPORT=NO
ALLOWED_HOSTS_HOSTNAME_LOOKUP=YES
AGE_RESET_VALID=5d
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
DAEMON_LOG = /var/log/denyhosts
DAEMON_LOG_TIME_FORMAT = %b %d %H:%M:%S
DAEMON_LOG_MESSAGE_FORMAT = %(asctime)s - %(name)-12s: %(levelname)-8s
%(message)s
DAEMON_SLEEP = 30s
DAEMON_PURGE = 1h
Macht es Sinn da noch was zu verschärfen?
/etc/ssh/sshd_config
Protocol 2
LogLevel INFO
LoginGraceTime 15
MaxAuthTries 1
PubkeyAuthentication yes
PasswordAuthentication no
ChallengeResponseAuthentication no
KerberosAuthentication no
UsePAM no
X11Forwarding no
ClientAliveCountMax 2
MaxStartups 5:80:6
Subsystem sftp /usr/lib/ssh/sftp-server
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
Al
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@opensuse.org
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@opensuse.org