Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern  [GELÖST]

Locked
User avatar
Sumale.my
Posts: 66
Joined: Wed 8. Jan 2020, 17:38

Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern

Post by Sumale.my »

Hallo zusammen,

ich bin noch neu im Konfigurieren was Server betrifft.
Ich habe Keyhelp frisch installiert und würde gerne folgende Frage stellen:

Kann mir jemand erklären (Vielleicht Step by Step), wie ich den Port ändern kann, sodass ich nicht ausgesperrt werde?
Eventuell würde sich jemand kurz die Zeit nehmen, mir das einmal in Kombination mit dem Keyhelp Step by Step einmal kurz aufschreiben.

Ich habe schon gelesen, dass man den Port in der .ssh Datei ändern muss, aber auch in der Firewall sowie dieses fail2ban.
Ich würde nur gerne genau die Schritte wissen, was als erstes und wo genau.

Ich wäre euch sehr sehr dankbar.

Beste Grüße
Sumale
User avatar
Sumale.my
Posts: 66
Joined: Wed 8. Jan 2020, 17:38

Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern

Post by Sumale.my »

Schade, scheint wohl so daß Support und Community nicht mehr wirklich aktiv sind oder?

LG
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern

Post by Alexander »

Die Community hilft hier in Ihrer Freizeit und ich empfinde deine Behauptung leider absolut fehl am Platz. Die Leute der Community opfern hier teilweise einen Großteil Ihrer Freizeit, das sollte man honorieren. Weiterhin gibt es hier kostenlosen Support, hier gibt es keine Service-Level-Agreement oder Ähnliches die eine Antwort innerhalb von nicht mal 48 h gebieten. Wenn man das möchte, gibt es dafür auch Mittel und Wege.

1) Zusätzlich in der KeyHelp-Firewall den neuen SSH-Port freigeben
2) SSH-Port in /etc/ssh/sshd_config anpassen
3) In der /etc/fail2ban/jail.conf unter dem Punkt [sshd] die Port-Nummer eintragen
4) Dienste neu starten: SSH-Server + Fail2Ban

Dazu sei gesagt, "Sicherheit" durch Verschleierung" ist nichts, was erstrebenswert wäre: https://de.wikipedia.org/wiki/Security_ ... _obscurity
Ggf. auch ein Grund, warum du noch keine Antwort erhalten hast.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
mhagge
Community Moderator
Posts: 487
Joined: Wed 8. Aug 2018, 15:19

Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern

Post by mhagge »

Und vielleicht als Ergänzung: es ist ja zudem auch noch ein Thema, was nur sehr begrenzt mit Keyhelp zu tun hat
User avatar
Sumale.my
Posts: 66
Joined: Wed 8. Jan 2020, 17:38

Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern

Post by Sumale.my »

Entschuldigt bitte, ich wollte damit niemanden beleidigen und nehme das so in der Ausführung auch zurück und entsprechend bedanke ich mich für eure Antworten.

Heißt das, dass genau die erfragten Dinge, letztendlich unnötig sind?

Beste Grüße
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern

Post by Alexander »

Mit verändern des SSH-Ports beseitigst du zwar das Hintergrundrauschen der Bots, aber mit einem ausreichend starkem Passwort (bzw. mit SSH-Key-Auth only) und aktivem Fail2Ban kommt ohnehin keiner von denen auf deinen Server.

Wenn es tatsächlich jemand auf deinen Server abgesehen hat, wirft der Angreifer einen Portscanner an und der liefert ihm in wenigen Minuten den geänderten SSH-Port.

Meiner Meinung nach: Ändern des SSH-Ports ist unnötig.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern

Post by OlliTheDarkness »

Alexander wrote: Mon 14. Jun 2021, 17:43 Mit verändern des SSH-Ports beseitigst du zwar das Hintergrundrauschen der Bots, aber mit einem ausreichend starkem Passwort (bzw. mit SSH-Key-Auth only) und aktivem Fail2Ban kommt ohnehin keiner von denen auf deinen Server.

Wenn es tatsächlich jemand auf deinen Server abgesehen hat, wirft der Angreifer einen Portscanner an und der liefert ihm in wenigen Minuten den geänderten SSH-Port.

Meiner Meinung nach: Ändern des SSH-Ports ist unnötig.
Vollkommen richtig.
Was man machen kann um das ganze ein wenig zu verhärten ist die F2B Regeln enger zu schnüren, sprich max. Fehlversuche zb. auf 2, FindTime und BanTime erhöhen und die Regel für wiederkehrende Störenfriede aktivieren und hochdrehen.
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
Sumale.my
Posts: 66
Joined: Wed 8. Jan 2020, 17:38

Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern

Post by Sumale.my »

OlliTheDarkness wrote: Mon 14. Jun 2021, 17:58
Alexander wrote: Mon 14. Jun 2021, 17:43 Mit verändern des SSH-Ports beseitigst du zwar das Hintergrundrauschen der Bots, aber mit einem ausreichend starkem Passwort (bzw. mit SSH-Key-Auth only) und aktivem Fail2Ban kommt ohnehin keiner von denen auf deinen Server.

Wenn es tatsächlich jemand auf deinen Server abgesehen hat, wirft der Angreifer einen Portscanner an und der liefert ihm in wenigen Minuten den geänderten SSH-Port.

Meiner Meinung nach: Ändern des SSH-Ports ist unnötig.
Vollkommen richtig.
Was man machen kann um das ganze ein wenig zu verhärten ist die F2B Regeln enger zu schnüren, sprich max. Fehlversuche zb. auf 2, FindTime und BanTime erhöhen und die Regel für wiederkehrende Störenfriede aktivieren und hochdrehen.
Vielen Dank für diese wertvollen Informationen und ein "WOW" - Man MUSS sich tatsächlich wirklich auskennen.

Was ich jetzt gemacht habe ist:
- Einen neuen SSH User angelegt
- Eine neue Gruppe und dort den User hineingeschoben
- In der SSH "root" als User und Gruppe mit "Deny" versehen
- Ebenfalls den Zugang nur mit einem SSH-Key zugelassen
- Phrase + Passwort für den neuen Nutzer sowie der Key-File sehr kryptisch und lang erstellt
- Port in der .ssh, Firewall sowie fail2ban geändert

- Neustart: Es läuft alles! ICH DANKE!

Ich habe mehrfach gelesen, dass man eine jail.local anlegen soll. Das habe ich mit "cp jail.conf jail.local" getan

Auf jeden Fall habe ich für die Zukunft dank euch wichtige Informationen mitnehmen können, herzlichen Dank!
Das mit dem Port habe ich zur Kenntnis genommen.

Dieses Finetuning, da traue ich mich noch nicht dran. Aber bis hierhin, nochmal Dank!

LG
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern

Post by OlliTheDarkness »

Sumale.my wrote: Mon 14. Jun 2021, 18:54
OlliTheDarkness wrote: Mon 14. Jun 2021, 17:58
Alexander wrote: Mon 14. Jun 2021, 17:43 Mit verändern des SSH-Ports beseitigst du zwar das Hintergrundrauschen der Bots, aber mit einem ausreichend starkem Passwort (bzw. mit SSH-Key-Auth only) und aktivem Fail2Ban kommt ohnehin keiner von denen auf deinen Server.

Wenn es tatsächlich jemand auf deinen Server abgesehen hat, wirft der Angreifer einen Portscanner an und der liefert ihm in wenigen Minuten den geänderten SSH-Port.

Meiner Meinung nach: Ändern des SSH-Ports ist unnötig.
Vollkommen richtig.
Was man machen kann um das ganze ein wenig zu verhärten ist die F2B Regeln enger zu schnüren, sprich max. Fehlversuche zb. auf 2, FindTime und BanTime erhöhen und die Regel für wiederkehrende Störenfriede aktivieren und hochdrehen.
Vielen Dank für diese wertvollen Informationen und ein "WOW" - Man MUSS sich tatsächlich wirklich auskennen.

Was ich jetzt gemacht habe ist:
- Einen neuen SSH User angelegt
- Eine neue Gruppe und dort den User hineingeschoben
- In der SSH "root" als User und Gruppe mit "Deny" versehen
- Ebenfalls den Zugang nur mit einem SSH-Key zugelassen
- Phrase + Passwort für den neuen Nutzer sowie der Key-File sehr kryptisch und lang erstellt
- Port in der .ssh, Firewall sowie fail2ban geändert

- Neustart: Es läuft alles! ICH DANKE!

Ich habe mehrfach gelesen, dass man eine jail.local anlegen soll. Das habe ich mit "cp jail.conf jail.local" getan

Auf jeden Fall habe ich für die Zukunft dank euch wichtige Informationen mitnehmen können, herzlichen Dank!
Das mit dem Port habe ich zur Kenntnis genommen.

Dieses Finetuning, da traue ich mich noch nicht dran. Aber bis hierhin, nochmal Dank!

LG
Hübsch das es klappt.
An der Stelle möchte ich auch nochmal auf einen "älteren" Beitrag von mir hinweisen.
In der Bastelecke findest du noch einen F2B Upload welcher damals als Fix gedient hat.
Dieser hat noch einige Jails die du wenn benötigst noch nachtragen kannst.
Unter anderem für den Apachen bezüglich BadBots etc. für Postfix und anderes, weiß garnichtmehr was ich da alles drin hatte.
Ist aber denke ich für dich mal nenn Blick wert.

Edit:
Was ich dir auf jedenfall ans Herz lege wenn du Wordpress betreibst, die F2B Wordpress Jail.
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
Sumale.my
Posts: 66
Joined: Wed 8. Jan 2020, 17:38

Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern

Post by Sumale.my »

OlliTheDarkness wrote: Mon 14. Jun 2021, 19:04
Sumale.my wrote: Mon 14. Jun 2021, 18:54
OlliTheDarkness wrote: Mon 14. Jun 2021, 17:58

Vollkommen richtig.
Was man machen kann um das ganze ein wenig zu verhärten ist die F2B Regeln enger zu schnüren, sprich max. Fehlversuche zb. auf 2, FindTime und BanTime erhöhen und die Regel für wiederkehrende Störenfriede aktivieren und hochdrehen.
Vielen Dank für diese wertvollen Informationen und ein "WOW" - Man MUSS sich tatsächlich wirklich auskennen.

Was ich jetzt gemacht habe ist:
- Einen neuen SSH User angelegt
- Eine neue Gruppe und dort den User hineingeschoben
- In der SSH "root" als User und Gruppe mit "Deny" versehen
- Ebenfalls den Zugang nur mit einem SSH-Key zugelassen
- Phrase + Passwort für den neuen Nutzer sowie der Key-File sehr kryptisch und lang erstellt
- Port in der .ssh, Firewall sowie fail2ban geändert

- Neustart: Es läuft alles! ICH DANKE!

Ich habe mehrfach gelesen, dass man eine jail.local anlegen soll. Das habe ich mit "cp jail.conf jail.local" getan

Auf jeden Fall habe ich für die Zukunft dank euch wichtige Informationen mitnehmen können, herzlichen Dank!
Das mit dem Port habe ich zur Kenntnis genommen.

Dieses Finetuning, da traue ich mich noch nicht dran. Aber bis hierhin, nochmal Dank!

LG
Hübsch das es klappt.
An der Stelle möchte ich auch nochmal auf einen "älteren" Beitrag von mir hinweisen.
In der Bastelecke findest du noch einen F2B Upload welcher damals als Fix gedient hat.
Dieser hat noch einige Jails die du wenn benötigst noch nachtragen kannst.
Unter anderem für den Apachen bezüglich BadBots etc. für Postfix und anderes, weiß garnichtmehr was ich da alles drin hatte.
Ist aber denke ich für dich mal nenn Blick wert.

Edit:
Was ich dir auf jedenfall ans Herz lege wenn du Wordpress betreibst, die F2B Wordpress Jail.
Vielen Dank, da schaue ich doch gleich mal rein.

Ich habe nur ein Problem, vielleicht weist du mehr.
Meine Konfiguration wie oben angegeben funktioniert, aber ich kann mit WinSCP nicht zum root wechseln, damit ich auf den ganzen FTP Zugriff habe.
So logge ich mich mit dem erstellten User ein, möchte aber dann zum root zwitchen.
Unter SFTP habe ich eingetragen: /usr/lib/openssh/sftp-server
Unter Shell: /bin/bash -c "su -s root"
Er loggt sich wohl weiterhin nur mir dem erstellten User ein. Eine Idee?

LG
User avatar
ShortSnow
Posts: 251
Joined: Thu 15. Nov 2018, 00:45

Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern

Post by ShortSnow »

So wie ich das hier lese: https://winscp.net/eng/docs/faq_su, kann das WinSCP nicht mit Passwort.

Gruß Arne
User avatar
Sumale.my
Posts: 66
Joined: Wed 8. Jan 2020, 17:38

Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern

Post by Sumale.my »

ShortSnow wrote: Mon 14. Jun 2021, 21:20 So wie ich das hier lese: https://winscp.net/eng/docs/faq_su, kann das WinSCP nicht mit Passwort.

Gruß Arne
Tatsächlich ist das so. Gibt es andere Möglichkeiten, weiß da jemand etwas?
Prinzipiell ist mir das Programm zum nutzen für den (S)FTP egal, solange man von User zum root Switchen kann.
Auch eine Linux-Software, würde kein Problem darstellen.

LG
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern

Post by Tobi »

Ehrlich gesagt hantiert man nicht als root mit FTP.
Ich habe dazu noch nie die Notwendigkeit gehabt.
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
Sumale.my
Posts: 66
Joined: Wed 8. Jan 2020, 17:38

Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern

Post by Sumale.my »

Tobi wrote: Tue 15. Jun 2021, 11:11 Ehrlich gesagt hantiert man nicht als root mit FTP.
Ich habe dazu noch nie die Notwendigkeit gehabt.
Grüße,

genau das ist es ja. Von vielen, hört man viel und was ist am Ende das richtige? Mir wurde gesagt, dass man immer über SSH FTP zugreifen soll und nie mit normalen FTP.

LG
User avatar
ShortSnow
Posts: 251
Joined: Thu 15. Nov 2018, 00:45

Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern  [GELÖST]

Post by ShortSnow »

Hi,

im Grunde sollst Du Arbeiten auf dem Server mit der Console am besten per SSH durchühren. Dazu eigent sich z.B. Putty https://www.chiark.greenend.org.uk/~sgt ... atest.html.

Um Dateien auf den Server zu Übertragen ist SFTP die richtige Wahl. Ich wüsste aber auch keine Fälle, wo ich das als root machen muss. Ich lade die als User hoch, dann hat es auch die entsprechenden Userrechte, was meistens auch so benötigt wird.

Wenn ich Dateien für Installationen brauche sind die meistens eh Online und ich lade die direkt per wget.

Und in wirklich ganz wenigen Fällen, wo ich was als root brauchte (ein paar lokal gesicherte Bashscripte), habe ich als User hochgeladen und dann als root einfach intern kopiert und die Rechte angepasst.

Wenn Du Deine Aufgabe beschreibst, die Du als root mit SFTP bewältigen möchtest, gibt es vielleicht den ein oder anderen mit einem Lösungsweg.

Gruß Arne
Locked