shopuser
Anmeldungsdatum: 29. Januar 2016
Beiträge: Zähle...
|
Hallo, wie könnte man SSH loginversucher von verschiedenen IP innerhalb von Sekunden oder Minuten per fail2ban blocken.
Habe das Problem das versucht wird auf den server so zuzugreifen die normalen jails bei fail2ban bei mehr als 1 Versuch von der selben ip bei mir zu machen. Gruss
|
u1000
Anmeldungsdatum: 2. Oktober 2011
Beiträge: 1850
|
shopuser schrieb: wie könnte man SSH loginversucher von verschiedenen IP innerhalb von Sekunden oder Minuten per fail2ban blocken.
Das ginge mit fail2ban, aber dann würdest du dich ja möglicherweise selber ausschließen! Oder hast du am Client Pc eine feste IP den du am Server Whitelisten kannst? P.S.: Besser so: deaktiviere am Server den root Account, deaktiviere den Login per Passwort, erlaube Anmeldungen nur mit Public Keys, erlaube nur einen bestimmten ssh User, ändere den Default Port 22.
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
u1000 schrieb: P.S.: Besser so: deaktiviere am Server den root Account, deaktiviere den Login per Passwort, erlaube Anmeldungen nur mit Public Keys, erlaube nur einen bestimmten ssh User, ändere den Default Port 22.
Bis auf die Änderung vom Port kann ich die Empfehlungen nur unterschreiben. Wie ich in einem anderen Thema schon mal schrieb: wenn ich mein Haus umdrehe, so dass die Tür woanders ist, wird das Haus nicht sicherer.
Public Keys verwenden, Passwort-Login verbieten, root-Login verbieten und mit sudo arbeiten und nur bestimmten Nutzern den Login erlauben (obwohl das etwas redundant ist, wenn man Public Keys verwendet)
machen den Server sicherer. Fail2Ban hat auch Anwendungsgebiete, aber solange die Login-Versuche deinen Server nicht beeinträchtigen (DenialOfService) oder deine Festplatte mit Logfiles vollmüllen … halte ich das für unnötig. ~jug
|
Markus1969
Anmeldungsdatum: 18. März 2016
Beiträge: Zähle...
Wohnort: 63785 Obernburg
|
Nabend jug jug schrieb: u1000 schrieb: P.S.: Besser so: deaktiviere am Server den root Account, deaktiviere den Login per Passwort, erlaube Anmeldungen nur mit Public Keys, erlaube nur einen bestimmten ssh User, ändere den Default Port 22.
Bis auf die Änderung vom Port kann ich die Empfehlungen nur unterschreiben. Wie ich in einem anderen Thema schon mal schrieb: wenn ich mein Haus umdrehe, so dass die Tür woanders ist, wird das Haus nicht sicherer.
Public Keys verwenden, Passwort-Login verbieten, root-Login verbieten und mit sudo arbeiten und nur bestimmten Nutzern den Login erlauben (obwohl das etwas redundant ist, wenn man Public Keys verwendet)
machen den Server sicherer. Fail2Ban hat auch Anwendungsgebiete, aber solange die Login-Versuche deinen Server nicht beeinträchtigen (DenialOfService) oder deine Festplatte mit Logfiles vollmüllen … halte ich das für unnötig. ~jug
Auch wenn Dein Posting schon ein paar Tage alt ist, hier die Frage ob Du eine Muster config für einen 16.04 posten magst.
Ich hätte daran jedenfalls Interesse, da ich gerne den von Dir genannten Ansatz umsetzen möchte. Besten Dank vorab, Gruß Markus
|
sinusQ
Anmeldungsdatum: 27. Oktober 2010
Beiträge: 193
Wohnort: Neudau
|
Markus1969 schrieb: jug schrieb: u1000 schrieb:
| PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
|
| PasswordAuthentication no
|
machen den Server sicherer.
| AllowGroups sshusers
AllowUsers xxx
DenyGroups yyy
DenyUsers zzz
|
Fail2Ban hat auch Anwendungsgebiete, aber solange die Login-Versuche deinen Server nicht beeinträchtigen (DenialOfService) oder deine Festplatte mit Logfiles vollmüllen … halte ich das für unnötig.
Genau um die Logfiles halbweigs rein zu halten, macht es auch Sinn die Haustüre auf die Hinterseite des Hauses zu setzen. Ich habe mir eine Statistik zu den versuchten SSH-Logins via Port 22 und zu den Verbindungsversuchen auf anderen Ports (80 und 443 sind auf meinem Pi noch offen, der Rest per Firewall gesperrt) gebastelt. ☺
Auch wenn Dein Posting schon ein paar Tage alt ist, hier die Frage ob Du eine Muster config für einen 16.04 posten magst.
Ich hätte daran jedenfalls Interesse, da ich gerne den von Dir genannten Ansatz umsetzen möchte.
SSH (Abschnitt „Der-SSH-Server“) cheers,
Michael
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8525
|
Und ween man ssh auf Login per Keyfiles umstellt, erst einmal den Passwort-Login nicht verbieten. Wenn die neue Loginmethode getestet ist, kann man das Passwort-Login rausnehmen. Sonst gibt es vielleicht böse Überraschungen 😉.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13927
|
sinusQ schrieb: Genau um die Logfiles halbweigs rein zu halten, macht es auch Sinn die Haustüre auf die Hinterseite des Hauses zu setzen.
BTW: Wenn man ssh-Clients bei denen man das ecn-Bit setzen kann, verwendet, dann kann man auch den Port 22 nutzen um die Logfiles halbwegs rein zu halten. Denn lt. meinen Erfahrungen wird in 99,99% der Fälle (Versuche) zum Scannen, das ecn-Bit nicht gesetzt:
sudo iptables -I INPUT 1 -i <Input-Interface> -p tcp --tcp-flags SYN SYN --dport 22 -m ecn ! --ecn-tcp-cwr -m state --state NEW -j DROP
|
Derkleinealfred
Anmeldungsdatum: 2. Juli 2015
Beiträge: 262
|
Klemm doch ne Firewall dazwischen? Da kannst du IPs sehr gut blocken! Entweder eine aus dem Mediamarkt oder Ipfire... Nimm IPfire 😉
|