Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern [GELÖST]
Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern
Hallo zusammen,
ich bin noch neu im Konfigurieren was Server betrifft.
Ich habe Keyhelp frisch installiert und würde gerne folgende Frage stellen:
Kann mir jemand erklären (Vielleicht Step by Step), wie ich den Port ändern kann, sodass ich nicht ausgesperrt werde?
Eventuell würde sich jemand kurz die Zeit nehmen, mir das einmal in Kombination mit dem Keyhelp Step by Step einmal kurz aufschreiben.
Ich habe schon gelesen, dass man den Port in der .ssh Datei ändern muss, aber auch in der Firewall sowie dieses fail2ban.
Ich würde nur gerne genau die Schritte wissen, was als erstes und wo genau.
Ich wäre euch sehr sehr dankbar.
Beste Grüße
Sumale
ich bin noch neu im Konfigurieren was Server betrifft.
Ich habe Keyhelp frisch installiert und würde gerne folgende Frage stellen:
Kann mir jemand erklären (Vielleicht Step by Step), wie ich den Port ändern kann, sodass ich nicht ausgesperrt werde?
Eventuell würde sich jemand kurz die Zeit nehmen, mir das einmal in Kombination mit dem Keyhelp Step by Step einmal kurz aufschreiben.
Ich habe schon gelesen, dass man den Port in der .ssh Datei ändern muss, aber auch in der Firewall sowie dieses fail2ban.
Ich würde nur gerne genau die Schritte wissen, was als erstes und wo genau.
Ich wäre euch sehr sehr dankbar.
Beste Grüße
Sumale
Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern
Schade, scheint wohl so daß Support und Community nicht mehr wirklich aktiv sind oder?
LG
LG
Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern
Die Community hilft hier in Ihrer Freizeit und ich empfinde deine Behauptung leider absolut fehl am Platz. Die Leute der Community opfern hier teilweise einen Großteil Ihrer Freizeit, das sollte man honorieren. Weiterhin gibt es hier kostenlosen Support, hier gibt es keine Service-Level-Agreement oder Ähnliches die eine Antwort innerhalb von nicht mal 48 h gebieten. Wenn man das möchte, gibt es dafür auch Mittel und Wege.
1) Zusätzlich in der KeyHelp-Firewall den neuen SSH-Port freigeben
2) SSH-Port in /etc/ssh/sshd_config anpassen
3) In der /etc/fail2ban/jail.conf unter dem Punkt [sshd] die Port-Nummer eintragen
4) Dienste neu starten: SSH-Server + Fail2Ban
Dazu sei gesagt, "Sicherheit" durch Verschleierung" ist nichts, was erstrebenswert wäre: https://de.wikipedia.org/wiki/Security_ ... _obscurity
Ggf. auch ein Grund, warum du noch keine Antwort erhalten hast.
1) Zusätzlich in der KeyHelp-Firewall den neuen SSH-Port freigeben
2) SSH-Port in /etc/ssh/sshd_config anpassen
3) In der /etc/fail2ban/jail.conf unter dem Punkt [sshd] die Port-Nummer eintragen
4) Dienste neu starten: SSH-Server + Fail2Ban
Dazu sei gesagt, "Sicherheit" durch Verschleierung" ist nichts, was erstrebenswert wäre: https://de.wikipedia.org/wiki/Security_ ... _obscurity
Ggf. auch ein Grund, warum du noch keine Antwort erhalten hast.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern
Und vielleicht als Ergänzung: es ist ja zudem auch noch ein Thema, was nur sehr begrenzt mit Keyhelp zu tun hat
Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern
Entschuldigt bitte, ich wollte damit niemanden beleidigen und nehme das so in der Ausführung auch zurück und entsprechend bedanke ich mich für eure Antworten.
Heißt das, dass genau die erfragten Dinge, letztendlich unnötig sind?
Beste Grüße
Heißt das, dass genau die erfragten Dinge, letztendlich unnötig sind?
Beste Grüße
Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern
Mit verändern des SSH-Ports beseitigst du zwar das Hintergrundrauschen der Bots, aber mit einem ausreichend starkem Passwort (bzw. mit SSH-Key-Auth only) und aktivem Fail2Ban kommt ohnehin keiner von denen auf deinen Server.
Wenn es tatsächlich jemand auf deinen Server abgesehen hat, wirft der Angreifer einen Portscanner an und der liefert ihm in wenigen Minuten den geänderten SSH-Port.
Meiner Meinung nach: Ändern des SSH-Ports ist unnötig.
Wenn es tatsächlich jemand auf deinen Server abgesehen hat, wirft der Angreifer einen Portscanner an und der liefert ihm in wenigen Minuten den geänderten SSH-Port.
Meiner Meinung nach: Ändern des SSH-Ports ist unnötig.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern
Vollkommen richtig.Alexander wrote: ↑Mon 14. Jun 2021, 17:43 Mit verändern des SSH-Ports beseitigst du zwar das Hintergrundrauschen der Bots, aber mit einem ausreichend starkem Passwort (bzw. mit SSH-Key-Auth only) und aktivem Fail2Ban kommt ohnehin keiner von denen auf deinen Server.
Wenn es tatsächlich jemand auf deinen Server abgesehen hat, wirft der Angreifer einen Portscanner an und der liefert ihm in wenigen Minuten den geänderten SSH-Port.
Meiner Meinung nach: Ändern des SSH-Ports ist unnötig.
Was man machen kann um das ganze ein wenig zu verhärten ist die F2B Regeln enger zu schnüren, sprich max. Fehlversuche zb. auf 2, FindTime und BanTime erhöhen und die Regel für wiederkehrende Störenfriede aktivieren und hochdrehen.
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern
Vielen Dank für diese wertvollen Informationen und ein "WOW" - Man MUSS sich tatsächlich wirklich auskennen.OlliTheDarkness wrote: ↑Mon 14. Jun 2021, 17:58Vollkommen richtig.Alexander wrote: ↑Mon 14. Jun 2021, 17:43 Mit verändern des SSH-Ports beseitigst du zwar das Hintergrundrauschen der Bots, aber mit einem ausreichend starkem Passwort (bzw. mit SSH-Key-Auth only) und aktivem Fail2Ban kommt ohnehin keiner von denen auf deinen Server.
Wenn es tatsächlich jemand auf deinen Server abgesehen hat, wirft der Angreifer einen Portscanner an und der liefert ihm in wenigen Minuten den geänderten SSH-Port.
Meiner Meinung nach: Ändern des SSH-Ports ist unnötig.
Was man machen kann um das ganze ein wenig zu verhärten ist die F2B Regeln enger zu schnüren, sprich max. Fehlversuche zb. auf 2, FindTime und BanTime erhöhen und die Regel für wiederkehrende Störenfriede aktivieren und hochdrehen.
Was ich jetzt gemacht habe ist:
- Einen neuen SSH User angelegt
- Eine neue Gruppe und dort den User hineingeschoben
- In der SSH "root" als User und Gruppe mit "Deny" versehen
- Ebenfalls den Zugang nur mit einem SSH-Key zugelassen
- Phrase + Passwort für den neuen Nutzer sowie der Key-File sehr kryptisch und lang erstellt
- Port in der .ssh, Firewall sowie fail2ban geändert
- Neustart: Es läuft alles! ICH DANKE!
Ich habe mehrfach gelesen, dass man eine jail.local anlegen soll. Das habe ich mit "cp jail.conf jail.local" getan
Auf jeden Fall habe ich für die Zukunft dank euch wichtige Informationen mitnehmen können, herzlichen Dank!
Das mit dem Port habe ich zur Kenntnis genommen.
Dieses Finetuning, da traue ich mich noch nicht dran. Aber bis hierhin, nochmal Dank!
LG
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern
Hübsch das es klappt.Sumale.my wrote: ↑Mon 14. Jun 2021, 18:54Vielen Dank für diese wertvollen Informationen und ein "WOW" - Man MUSS sich tatsächlich wirklich auskennen.OlliTheDarkness wrote: ↑Mon 14. Jun 2021, 17:58Vollkommen richtig.Alexander wrote: ↑Mon 14. Jun 2021, 17:43 Mit verändern des SSH-Ports beseitigst du zwar das Hintergrundrauschen der Bots, aber mit einem ausreichend starkem Passwort (bzw. mit SSH-Key-Auth only) und aktivem Fail2Ban kommt ohnehin keiner von denen auf deinen Server.
Wenn es tatsächlich jemand auf deinen Server abgesehen hat, wirft der Angreifer einen Portscanner an und der liefert ihm in wenigen Minuten den geänderten SSH-Port.
Meiner Meinung nach: Ändern des SSH-Ports ist unnötig.
Was man machen kann um das ganze ein wenig zu verhärten ist die F2B Regeln enger zu schnüren, sprich max. Fehlversuche zb. auf 2, FindTime und BanTime erhöhen und die Regel für wiederkehrende Störenfriede aktivieren und hochdrehen.
Was ich jetzt gemacht habe ist:
- Einen neuen SSH User angelegt
- Eine neue Gruppe und dort den User hineingeschoben
- In der SSH "root" als User und Gruppe mit "Deny" versehen
- Ebenfalls den Zugang nur mit einem SSH-Key zugelassen
- Phrase + Passwort für den neuen Nutzer sowie der Key-File sehr kryptisch und lang erstellt
- Port in der .ssh, Firewall sowie fail2ban geändert
- Neustart: Es läuft alles! ICH DANKE!
Ich habe mehrfach gelesen, dass man eine jail.local anlegen soll. Das habe ich mit "cp jail.conf jail.local" getan
Auf jeden Fall habe ich für die Zukunft dank euch wichtige Informationen mitnehmen können, herzlichen Dank!
Das mit dem Port habe ich zur Kenntnis genommen.
Dieses Finetuning, da traue ich mich noch nicht dran. Aber bis hierhin, nochmal Dank!
LG
An der Stelle möchte ich auch nochmal auf einen "älteren" Beitrag von mir hinweisen.
In der Bastelecke findest du noch einen F2B Upload welcher damals als Fix gedient hat.
Dieser hat noch einige Jails die du wenn benötigst noch nachtragen kannst.
Unter anderem für den Apachen bezüglich BadBots etc. für Postfix und anderes, weiß garnichtmehr was ich da alles drin hatte.
Ist aber denke ich für dich mal nenn Blick wert.
Edit:
Was ich dir auf jedenfall ans Herz lege wenn du Wordpress betreibst, die F2B Wordpress Jail.
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern
Vielen Dank, da schaue ich doch gleich mal rein.OlliTheDarkness wrote: ↑Mon 14. Jun 2021, 19:04Hübsch das es klappt.Sumale.my wrote: ↑Mon 14. Jun 2021, 18:54Vielen Dank für diese wertvollen Informationen und ein "WOW" - Man MUSS sich tatsächlich wirklich auskennen.OlliTheDarkness wrote: ↑Mon 14. Jun 2021, 17:58
Vollkommen richtig.
Was man machen kann um das ganze ein wenig zu verhärten ist die F2B Regeln enger zu schnüren, sprich max. Fehlversuche zb. auf 2, FindTime und BanTime erhöhen und die Regel für wiederkehrende Störenfriede aktivieren und hochdrehen.
Was ich jetzt gemacht habe ist:
- Einen neuen SSH User angelegt
- Eine neue Gruppe und dort den User hineingeschoben
- In der SSH "root" als User und Gruppe mit "Deny" versehen
- Ebenfalls den Zugang nur mit einem SSH-Key zugelassen
- Phrase + Passwort für den neuen Nutzer sowie der Key-File sehr kryptisch und lang erstellt
- Port in der .ssh, Firewall sowie fail2ban geändert
- Neustart: Es läuft alles! ICH DANKE!
Ich habe mehrfach gelesen, dass man eine jail.local anlegen soll. Das habe ich mit "cp jail.conf jail.local" getan
Auf jeden Fall habe ich für die Zukunft dank euch wichtige Informationen mitnehmen können, herzlichen Dank!
Das mit dem Port habe ich zur Kenntnis genommen.
Dieses Finetuning, da traue ich mich noch nicht dran. Aber bis hierhin, nochmal Dank!
LG
An der Stelle möchte ich auch nochmal auf einen "älteren" Beitrag von mir hinweisen.
In der Bastelecke findest du noch einen F2B Upload welcher damals als Fix gedient hat.
Dieser hat noch einige Jails die du wenn benötigst noch nachtragen kannst.
Unter anderem für den Apachen bezüglich BadBots etc. für Postfix und anderes, weiß garnichtmehr was ich da alles drin hatte.
Ist aber denke ich für dich mal nenn Blick wert.
Edit:
Was ich dir auf jedenfall ans Herz lege wenn du Wordpress betreibst, die F2B Wordpress Jail.
Ich habe nur ein Problem, vielleicht weist du mehr.
Meine Konfiguration wie oben angegeben funktioniert, aber ich kann mit WinSCP nicht zum root wechseln, damit ich auf den ganzen FTP Zugriff habe.
So logge ich mich mit dem erstellten User ein, möchte aber dann zum root zwitchen.
Unter SFTP habe ich eingetragen: /usr/lib/openssh/sftp-server
Unter Shell: /bin/bash -c "su -s root"
Er loggt sich wohl weiterhin nur mir dem erstellten User ein. Eine Idee?
LG
Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern
So wie ich das hier lese: https://winscp.net/eng/docs/faq_su, kann das WinSCP nicht mit Passwort.
Gruß Arne
Gruß Arne
Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern
Tatsächlich ist das so. Gibt es andere Möglichkeiten, weiß da jemand etwas?ShortSnow wrote: ↑Mon 14. Jun 2021, 21:20 So wie ich das hier lese: https://winscp.net/eng/docs/faq_su, kann das WinSCP nicht mit Passwort.
Gruß Arne
Prinzipiell ist mir das Programm zum nutzen für den (S)FTP egal, solange man von User zum root Switchen kann.
Auch eine Linux-Software, würde kein Problem darstellen.
LG
Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern
Ehrlich gesagt hantiert man nicht als root mit FTP.
Ich habe dazu noch nie die Notwendigkeit gehabt.
Ich habe dazu noch nie die Notwendigkeit gehabt.
Gruß,
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern
Grüße,
genau das ist es ja. Von vielen, hört man viel und was ist am Ende das richtige? Mir wurde gesagt, dass man immer über SSH FTP zugreifen soll und nie mit normalen FTP.
LG
Re: Bisschen weiter absichern / Sicherheit durch Sicherheit verschleiern [GELÖST]
Hi,
im Grunde sollst Du Arbeiten auf dem Server mit der Console am besten per SSH durchühren. Dazu eigent sich z.B. Putty https://www.chiark.greenend.org.uk/~sgt ... atest.html.
Um Dateien auf den Server zu Übertragen ist SFTP die richtige Wahl. Ich wüsste aber auch keine Fälle, wo ich das als root machen muss. Ich lade die als User hoch, dann hat es auch die entsprechenden Userrechte, was meistens auch so benötigt wird.
Wenn ich Dateien für Installationen brauche sind die meistens eh Online und ich lade die direkt per wget.
Und in wirklich ganz wenigen Fällen, wo ich was als root brauchte (ein paar lokal gesicherte Bashscripte), habe ich als User hochgeladen und dann als root einfach intern kopiert und die Rechte angepasst.
Wenn Du Deine Aufgabe beschreibst, die Du als root mit SFTP bewältigen möchtest, gibt es vielleicht den ein oder anderen mit einem Lösungsweg.
Gruß Arne
im Grunde sollst Du Arbeiten auf dem Server mit der Console am besten per SSH durchühren. Dazu eigent sich z.B. Putty https://www.chiark.greenend.org.uk/~sgt ... atest.html.
Um Dateien auf den Server zu Übertragen ist SFTP die richtige Wahl. Ich wüsste aber auch keine Fälle, wo ich das als root machen muss. Ich lade die als User hoch, dann hat es auch die entsprechenden Userrechte, was meistens auch so benötigt wird.
Wenn ich Dateien für Installationen brauche sind die meistens eh Online und ich lade die direkt per wget.
Und in wirklich ganz wenigen Fällen, wo ich was als root brauchte (ein paar lokal gesicherte Bashscripte), habe ich als User hochgeladen und dann als root einfach intern kopiert und die Rechte angepasst.
Wenn Du Deine Aufgabe beschreibst, die Du als root mit SFTP bewältigen möchtest, gibt es vielleicht den ein oder anderen mit einem Lösungsweg.
Gruß Arne