Am 17.12.2014 18:46, schrieb Norbert Zawodsky:
Am 17.12.2014 um 15:57 schrieb Mathias Homann:
Am Mittwoch 17 Dezember 2014, 14:58:28 schrieb Joerg Thuemmler:
Am 17.12.2014 12:00, schrieb Ralf Prengel:
Hallo, nachdem bei mir eingebrochen wurde und ich das System neu aufsetzen musste, möchte ich ein paar Sicherheiten einfügen.
Wenn jemand versucht einzubrechen, bekomme ich die IP-Adresse mitgeteilt. Wie kann ich es regeln, dass wenn diese IP-Adresse dreimal mit falschem Passwort versucht hat einzubrechen, diese IP-Adresse dann zu sperren? Es muss doch dafür in der Firewall etwas aktiviert werden. Ich habe noch nicht gefunden, wo das aktiviert wird. Ich bitte um eure Hilfe. Danke Bernd Hallo, ganz so einfach ist es nicht aber mit ein wenig Aufwand kommt man schon recht weut
Zitat von Bernhard Junk
: 1) fail2ban hilft schon mal weiter 2) Zugriffe aus dem Internet grundsätzlich verbieten bzw. nur bestimmenten Systemen erlauben, besser noch nur per VPN von aussen Zugriffe erlauben 3) Eine Firewall vorschalten die bestimmte Dienste nur an bestimmte Systeme weiterleitet. Ich empgehle da gerne Astaro/ Sopho. Ist für die privare Nutzung bis 50 IPs frei und für interessierte Poweruser auch beherrschbar. 4) Systeme die von aussen erreicbar sein sollen in eine DMZ packen. 5) Windows vermeiden wo immer es geht. 6) Systeme bottom to up aufsetzen. Minimale Installationen die Schritt für Schritt bei Bedarf erweitert werden. 7) Telnet und ftp sind böse ;-) Gruss Hi,
1. Frage ist immmer: was muss nach außen offen sein, alles andere wird durch die FW verboten. Auch die Suse-FW ist dafür ausreichend. Wenn Dein Rechner Gateway für Windows-Rechner ist, unbedingt alles zumachen, was mit Windows-Netzwerken zu tun hat 2. ssh mit fail2ban absichern 3. wenn ftp benötigt: vsftpd verwenden, dort die möglichen Einschränkungen benutzen... 4. wenn Du ssh (oder einen anderen Dienst) nicht immer anbieten musst, kannst Du auch die Zeiten noch beschränken, 90% der Angriffe aus China sind auf unseren vservern immer ab 1:30 Uhr... und das war bislang der Hauptteil der ssh-Attacken. 5. Einschränkung der Zugriffe von außen evt. auf bestimmte IP-Bereiche o.ä., wenn das geht, z.B. auf dynamische IPs aus dem Bereich der deutschen Provider (musst Du ein bisschen suchen, aber das kann man rauskriegen)
6. die mails von solchen mechanismen wie fail2ban, aide, rkhunter, logdigest etc etc müssen auch von jemand gelesen werden der damit etwas anzufangen weiss.
7. kann man dann nach lesen z.b. der mails von fail2ban die betreffenden länder gleich mit dem GeoIP-Modul für iptables komplett rauslassen. Bei bedarf, frag mich :)
Cheers MH
Hallo allerseits!
Was ich dazu beitragen kann:
Der bis jetzt einzige gelungene Einbruch auf meinem Rechner lief so ab dass der Bösewicht (keine Ahnung ob Mensch oder Maschine) ein login als user "nobody" gemacht hat, ein miniprogramm runtergeladen, compiliert und dann ausgeführt hat. Als user nobody konnte dieses Programm auf meinem Rechner zwar nichts anrichten, hat aber fremde Rechner von hier aus "belästigt".
Seither ist dem user nobody das login abgedreht.
BTW: Ärgerlich ist nur dass irgendetwas, vermutlich im Zuge von Updates, dem user nobody von Zeit zu Zeit das login wieder aufdreht. Ich frage mich wozu ??
Grüße, Norbert
Hi, nobody ist bei manchen Serverprogrammen (ftp...) der rechtlose User, auf den sie für die Ausführung nach dem Start wechseln. So kann eine Kompromittierung des jeweiligen Serverprogramms weniger Schaden anrichten. Wahrscheinlich setzen manche Konfigurationen deshalb einen user "nobody" voraus. Allerdings hat bei mir (OS11.4e hier) "nobody" zwar /bin/bash als Shell, aber kein Passwort ("*") in /etc/shadow. Das sollte bedeuten, man kann sich nicht mit der Authentifizierung per Passwort als "nobody" anmelden, sondern - mal abgesehen von reinen Schlüsselverfahren ohne Passwort - nur per "su" "nobody" werden. Das sollte doch reichen und daran wird sich auch kein Update vergreifen... cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org