Moin in die Runde,
man sollte ja regelmässige seine Sicherheitsstrategien überdenken, und ich frage mich gerade, wie ich bestimmte Serverdienste hochgradig einschränken kann.
Ein Beispiel: ssh
Natürlich ist der Zugang beschränkt. Key Auth only. Gegebenenfalls verlegter Port. fail2ban etc. Noch schöner wäre es, den Zugang nur für bestimmte IP zu erlauben. Aber genau das hat mich mal ein schlafloses Wochenende gekostet, als mein heimatlicher Provider meine seit 5 Jahren feste IP Adresse geändert hat - geräuschlos und ohne Ankündigung.
Meine erste Idee war, den gesamten IP Range meines Providers (KPN) per ufw/iptables bei ssh zu erlauben (81.205.0.0/16). Dummerweise haben die deutlich mehr als einen, und dann auch noch Kooperationen mit diversen anderen Anbietern. Ist zu heikel.
Die zweite Idee war, Zugriff nur aus Europa zu gestatten. Aber leider hat Ripe keinen homogenen IP Block.
Mir geht es um Sicherheit und Ruhe in den Logs, bei gleichzeitig minimaler Serverbelastung. GeoIP wäre sicherlich schick, erzeugt aber zuviel Last auf einem vServer.
Irgendwelche Ideen?
Grüße,
Thomas
man sollte ja regelmässige seine Sicherheitsstrategien überdenken, und ich frage mich gerade, wie ich bestimmte Serverdienste hochgradig einschränken kann.
Ein Beispiel: ssh
Natürlich ist der Zugang beschränkt. Key Auth only. Gegebenenfalls verlegter Port. fail2ban etc. Noch schöner wäre es, den Zugang nur für bestimmte IP zu erlauben. Aber genau das hat mich mal ein schlafloses Wochenende gekostet, als mein heimatlicher Provider meine seit 5 Jahren feste IP Adresse geändert hat - geräuschlos und ohne Ankündigung.
Meine erste Idee war, den gesamten IP Range meines Providers (KPN) per ufw/iptables bei ssh zu erlauben (81.205.0.0/16). Dummerweise haben die deutlich mehr als einen, und dann auch noch Kooperationen mit diversen anderen Anbietern. Ist zu heikel.
Die zweite Idee war, Zugriff nur aus Europa zu gestatten. Aber leider hat Ripe keinen homogenen IP Block.
Mir geht es um Sicherheit und Ruhe in den Logs, bei gleichzeitig minimaler Serverbelastung. GeoIP wäre sicherlich schick, erzeugt aber zuviel Last auf einem vServer.
Irgendwelche Ideen?
Grüße,
Thomas