neuer V-Server

master ok said:
Hallo,
Denn Ich glaube den SSH Port wird er auch auf 22 lassen.
Click to expand...

Das ist totaler Schwachsinn, es ist sowas von egal auf welchem Port ein SSHd läuft, wie als würden in China 2 Fahrräder umfallen.

5 Minuten warten und ich hab den SSH Port dank nmap wieder.

Security by Obsecurity macht sowas von gar keinen Sinn, dass du das meist gleich lassen kannst.

Oder bin ich nun potentiell gefährdet, wenn ich meinen SSHd mit einer Key Auth only + Listen on Port 22 konfiguriere und zudem noch Denyhosts laufen lasse?
 
Ich habe den Port mal testweise auf 22 gestellt.
Ich hatte da ein Haufen Einloggversuche im Log.

Wenn man ein komplett anderen nimmt zb den : 23569`.
Hat man wenig bis keine Zugriffsversuche.

Es gibt viele Möglichkeiten einen Server sicherer zu machen.

letztendlich:
Wenn jemand einen Server hacken möchte schafft er das auch .
Da ist es denn auch egal welchen Port man hat.
 
Last edited by a moderator:
master ok said:
Ich habe den Port mal testweise auf 22 gestellt.
Ich hatte da ein Haufen Einloggversuche im Log.

Wenn man ein komplett anderen nimmt zb den : 23569`.
Hat man wenig bis keine Zugriffsversuche.
Click to expand...

Du verstehst es nicht, das ist keine Security, das ist Obsecurity.

Und was ist daran bitte schlimm wenn ein paar dumme Scriptkiddies versuchen sich auf dein SSH mit user root und passwort 123 einzuloggen?

Denyhosts reicht dafür.
 
By the way weiß jeder Sysadmin, dass gerade in der Ferienzeit vermehrt irgendwelche Scriptkiddies versuchen den Server zu hacken.
Und denen ist es egal ob der Port auf 22 oder 39651 läuft.. Einloggversuche hat man da immer..

Also wie @virutal2 schon sagte: Denyhosts = Angreifer vom Server ausperren wenn x mal das falsche Passwort eingegeben wurde. Zudem am besten grad noch die SYN-Funktion nutzen, dass sich Denyhosts IP-Adressen ausem Netz lädt, welche in anderen System negativ aufgefallen sind & die auch gleich auf dem Server via iptables sperrt!
 
Last edited by a moderator:
virtual2 said:
Du verstehst es nicht, das ist keine Security, das ist Obsecurity.

Und was ist daran bitte schlimm wenn ein paar dumme Scriptkiddies versuchen sich auf dein SSH mit user root und passwort 123 einzuloggen?

Denyhosts reicht dafür.
Click to expand...

Interessanterweise wird selbst auf der Seite von Denyhosts dazu geraten, den Port für SSHd umzubiegen.
Wie sinnvoll es ist, kann man sicher darüber streiten. Unbestreitbar ist, dass die Logs nicht so voll laufen und man "echte" Einbruchsversuche so sehr viel deutlicher wahrnehmen kann. Das ist kein Sicherheitsgewinn aus sich selbt heraus, aber bringt den Fokus zurück auf die Angriffe, die der Aufmerksamkeit bedürfen.
 
virtual2 said:
Und was ist daran bitte schlimm wenn ein paar dumme Scriptkiddies versuchen sich auf dein SSH mit user root und passwort 123 einzuloggen?
Click to expand...

Wie Kato schon schrieb: Vollgemüllte logfiles, die es mir schwerer machen, die wichtigen von den unwichtigen Einträge zu unterscheiden. Deswegen verschiebe auch ich den Port, wohl wissend, dass es im eigentlichen Sinne nix bringt.
 
Ich denke grundsätzlich kann man sagen, dass jeder Serveradministrator sich selbst Gedanken um sein Sicherheitskonzept machen muss. Da gehört ja deutlich mehr dazu als nur den SSH-Dienst abzusichern...

Manche finden es sinnvoll den Port zu verlegen.. andere widerrum empfinden es nur als trügerische Sicherheit. Könnte man jetzt ewig drüber diskutieren.. endlose Pro./.Kontra Listen erstellen.
 
Kato said:
Interessanterweise wird selbst auf der Seite von Denyhosts dazu geraten, den Port für SSHd umzubiegen.
Click to expand...
Interessanterweise wird auf der gleichen Seite nicht auf den seit Ewigkeiten bekannten (Self-)DoS oder das allgemein erhöhte Sicherheitsrisiko durch den zusätzlich zu durchlaufenden (langsamen) Code oder den erheblichen Ressourcenbedarf hingewiesen.
Nettes unsicheres Kiddie-Spielzeug, aber eben auch nicht mehr...
 
Joe User said:
Nettes unsicheres Kiddie-Spielzeug, aber eben auch nicht mehr...
Click to expand...

Finde Denyhosts durchaus - richtig eingesetzt - für sehr sinnvoll!
Die Möglichkeit sich z.B. Liste von "faulen" IP aus dem Netz zu ziehen und sie gleich auf dem System zu sperren bzw. einen Benutzer zu sperren der x mal ein falsches Passwort eingibt.. m.E. nach ein sehr nützliches Programm!
 
Solche "IP-Listen" sind nur selten vertrauenswürdig und wenn, dann sind sie mit einfachen Shellscripts meist schneller verarbeitet.
Das "Aussperren" nach x fehlgeschlagenen Logins beherrscht OpenSSH von Haus aus, dafür braucht es kein dummes externes Tool...
 
You must log in or register to reply here.
Back
Top