[ssh] ip adressen sperren

K

krumme

New Member
Servus,

ich hab mir überlegt, um meinen Server besser abzusichern, nur ip Adresse die aus Deutschland kommen, den SSH Login zu gewähren. Gibt es da eine Möglichkeit? Wie kann man evtl. auch den Webzugriff sperren?

Weitere Frage: Welche Jabber-Server-Software könnt ihr mir empfehlen?

Bis jetzt hab ich lokal Openfire (das auf meinem Server nicht laufen will) und ejabberd (der läuft auf den Server) ausprobiert. Was sollte man absichern, finde einfach keine passende Anleitung passendes Buch darüber.

mfg krumme
 
So weit ich weiss, kann man das mit den IPs nicht direkt über den SSH-Server lösen. Dazu musst du schon IpTables bemühen. Schau dir einfach mal die Regelerstellung zu IpTables an. Das dürfte dir weiter helfen.
 
Hi krumme,

als Jabber-Server würde ich dir Openfire empfehlen, der läuft sehr stabil, bietet viele Features und kann sehr einfach über eine Web-Oberfläche konfiguriert und administriert werden.


mFg xiconfjs
 
MaxMind - GeoIP | IP Intelligence Solution
Geotargeting – Wikipedia

Sowas meinst Du? Halt ich however für Schwachsinn für die SSH Absicherung, denn wer wirklich auf Deinen Server will, kommt auch per deutschem Proxy drauf. Da wären die SSH Absicherung durch Keyfiles, Abschalten des SSH Root Zuganges sowie gegebenenfalls die Verlagerung des SSH Ports (bringt aber auch nicht dramatisch viel) deutlich einfacher und doch deutlich sinnvoller. Auch die Antwort auf Pings kann man noch deaktivieren, dann ist der Server bei bloßen, automatisierten Ping IP-Portrange-Scans einfach mal "offline".
 
gut, das mit den Ip's speeren hab ich wieder vergesse. Deine angegebenen Sicherheitsmaßnahmen hab ich schon, außer das mit den ping. Wie geht das?

Openfire will auf dem Server irgendwie nicht. Außerdem frisst es wegen Java sehr viel RAM
 
noch eine kleine Frage: Welche Logfiles sollte man nach was durchsuchen? Zurzeit mach ichs immer mit grep. Kennt jemand ein kompfortabelneres Tool?
 
Hm, kommt drauf an, welchen Einfallsweg Du vermutest. Was Du auf jeden Fall finden wirst, wenn Du passwortbasierten Login per SSH nicht komplett abgeschaltet hast, sind Brute Force Attacks auf SSH. Das ist leider heute normal, es gibt zwar auch dafür Gegenmaßnahmen (Zeitverzögerung bei zu vielen fehlgeschlagenen Logins, bis hin zur Sperrung der IP), trotzdem ist das "normal".

Ansonsten sind halt fehlerhafte Skripte heute meist Einfallstore (CMS Systeme, Blogsysteme, Foren, etc.). Hier wird man evtl etwas in den generellen Systemlogs finden, vermutlich gehen aber verdächtige Zeilen in der schieren Menge an Meldungen unter. Ein zeitnahes Updaten der genannten Skripte ist Pflicht jedes Admin, auch allgemein Security News zu verfolgen ist immer gut.

Ansonsten finde ich es mal vernünftig, dass sich mal jemand Gedanken um die SICHERHEIT seines Servers macht! Das passiert leider vieeeel zu selten.
 
updates überprüfe ich eingeltich täglich, wenn ich's nicht schaffe, setzte ich mich auch in der Nacht noch davor. Die Sicherheit ist mir eben sehr wichtig. Kannst du evlt. mal meine Maßnahmen bewerten? http://meisterfischer.eu/server.html

Ein Frage noch, wie bermerkt man einen erfolgreichen Angriff?
 
Na sieht doch sehr ordentlich aus! Nur würde ich diese Angaben gleich mal wieder rausnehmen. Denn sonst hat jemand Deine IP und Deine Konfiguration ohne noch irgendwas zu machen. Ob man da dann was damit anfangen kann, steht auf einem anderen Blatt. Aber Du hast da wirklich schon einige Punkte ausgeräumt und Dein System konsequent auf sicher getrimmt.

Wie gesagt, die meisten Hacks kommen über Fehler in Skripten. D.h. jede dynamische Website kann ein potentielles Einfallstor darstellen. Insofern ist auch deren Konfiguration eminent wichtig (und hier ja nicht aufgeführt).
 
Die angaben liegen nicht auf meinem Server ;)

Hab auch ca. 3 Monate gebraucht :D
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top