Hallo Leute, 1.:Ich möchte gerne das Fail2Ban meines Servers ausprobieren. Nun habe ich aber ein kleines Problem: In der Arbeit und Zuhause eine Standleitung. Mobiler Internetstick ist nicht vorhanden. Wie kann ich so eine Attacke simulieren? 2.: Mit einem Online Portscanner habe ich meinen Server gescant. Soweit sogut. Nur ein Port offen (SSH). Der Online Portscanner liefert aber zurück, dass es ein SSH Dienst ist, obwohl ich ein anderes Port vergeben habe. Das ganze läuft auf einem Raspberry PI 3. Wie kann ich die Rückmeldung über den laufenen Server verhindern? Geht das überhaupt?
DU kannst dir ne Kiste z.B. bei Amazon mieten, das kostet für so Zwecke praktisch nichts. Wenn du ne lahme Kiste mit 512mb ram nimmst was für dein test ja reichen sollte kostet dich das $0.0065 pro Stunde. Damit probierst du deine Logins aus und guckst ob dein Fail2ban zuschlägt. Danach gibst du die Kiste zurück. Verstecken kannst du den dienst nur über so Umwege wie Portknocking, wenn du den Zugang aber mit keyfiles regelst brauchst du keine Bedenken haben das da eingebrochen wird...
zipfer schrieb: > Geht das überhaupt? Vermutlich nicht. Server reagieren auf Verbindungsaufnahme oft mit einer bestimmten erkennbaren Signatur. Bei SSH ist nicht selten sogar seine Versionskennung drin, was aus Sicherheitsgründen nicht optimal ist. Halte ihn aktuell und sorge dafür, dass der Zugang zum SSH gut abgesichert ist. Und gewöhne dich an Kontaktversuche aus aller Welt, die sind völlig normal.
:
Bearbeitet durch User
http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html ab "#16: Thwart SSH Crackers (Brute Force Attack)" du könntest noch portknocking implementieren, so das ein scanner mit sehr großer wahrscheinlichkeit keinen offenen port findet, und so weder herausfinden kann das ein sshd läuft, und somit auch nicht welche (möglicherweise unsichere) version davon.
zipfer schrieb: > In der Arbeit und Zuhause eine Standleitung. > Wie kann ich die Rückmeldung über den laufenen Server verhindern? Da Du bei einer Standleitung wohl auch statische IPs hast, kannst Du Dir das ganze fail2ban und Port-Gedöns auch einfach sparen: iptables -P INPUT ACCEPT iptables -F INPUT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -s heimip -p tcp -m tcp --dport 22 -j ACCEPT iptables -A INPUT -s firmenip -p tcp -m tcp --dport 22 -j ACCEPT iptables -P INPUT DROP iptables-save > /etc/sysconfig/iptables Bei Bedarf noch ICMP-8 (ping) freischalten.
Franz schrieb: > Da Du bei einer Standleitung wohl auch statische IPs hast, Das kann er dann ggf. auch direkt im SSH-Server blocken.
dafür braucht man kein Fail2Ban. iptables bietet dafür auch etwas an. iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP
Was sich bei mir als sehr zweckmäßig erwiesen hat: Für den Schlüsseltausch nur curve25519-sha256 zulassen. Seit meiner Umstellung des Servers brechen die Skripte der chinesischen Skriptkiddies immer schon in der Preauth-Phase ab ("Unable to negotiate a key exchange method [preauth]"). Offensichtlich haben die üblichen libraries die curve25519 noch nicht integriert ;)
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.