SSH-Zugriff auf tailscale0-Interface begrenzen?

[slowmo]

Hallo zusammen,
ich habe CrowdSec und ufw auf meiner Keyhelp-Installation am laufen, weil fail2ban leider nicht ausreichend vor Kriminellen & Spamern schützt. Auch habe ich versucht in der UFW Port 22/OpenSSH über eth0 zu blockieren. Leider scheint die Firewall von Keyhelp dominanter zu sein, weshalb SSH-Logins weiterhin möglich waren.

Nun hab ich den Zugriff erstmal auf mein heimische IP beschränkt. Das aber wird auf Dauer nervig, wenn ich jedes Mal die Regel dafür anpassen muss.

Hat jemand einen Tipp, wie ich SSH über eth0 deaktivieren und dafür über tailscale0 aktivieren kann?

Danke im Voraus!

[Jolinar]

ich habe CrowdSec und ufw auf meiner Keyhelp-Installation am laufen, weil fail2ban leider nicht ausreichend vor Kriminellen & Spamern schützt.

Du klingst wie der Typ, der sich neben dem Defender noch 3 weitere AV Programme auf seinem Win Rechner installiert hat und nun glaubt, daß er besser geschützt sei...

Auch habe ich versucht in der UFW Port 22/OpenSSH über eth0 zu blockieren. Leider scheint die Firewall von Keyhelp dominanter zu sein

Du weißt aber schon, daß ufw keine eigenständige Firewall, sondern nur ein Frontend zur Verwaltung der iptables/nftables Regeln ist...

Hat jemand einen Tipp, wie ich SSH über eth0 deaktivieren und dafür über tailscale0 aktivieren kann?

Sorry für meine Unkenntnis, aber was genau meinst du mit diesem tailscale Dingens? Mir ist der Begriff tailscale nur im Zusammenhang mit VPN geläufig...


BTW:

weil fail2ban leider nicht ausreichend vor Kriminellen & Spamern schützt

Sehr gewagte These, wenn du es nicht belegen kannst

[slowmo]

Ich merke schon, Grundsatzdiskussionen und Religionsfragen spielen hier eine größere Rolle, als technische Hilfestellung. Echt schade.

Nichtsdestotrotz stehe ich zu meinem Ansatz:
100%ige Sicherheit gibt es nicht, jedoch ist mein E-Mail-Log wesentlich aufgeräumter, seitdem ich CrowdSec nutze und den ganzen kriminellen Abschaum & Spammer banne. Dass CrowdSec Fail2ban überlegen ist, erschließt sich nur jemanden, der es auch mal selbst getestet hat und nutzt. Probieren geht bekanntlich über studieren

Da können wir uns auch über Cloudflare's WAF streiten, und wir dessen Vor- und Nachteile diskutieren, doch wie jemand anderes meinen Ansatz FINDET und wie seine GEFÜHLE diesbezüglich sind, interessiert mich nicht im Geringsten. Es schafft MEHR Sicherheit, und darum geht in dieser digitalen Kloake, wo Kriminelle anscheinend machen können was sie wollen.

Was Tailscale anbelangt:
Ich will mich über die TS VPN (tailscale0 Interface) per SSH verbinden können. Nicht aber über eth0.

+++ UPDATE +++
Habe das Problem jetzt erstmal fix gelöst, indem ich die Firewall meines Hosters vor den Server zusätzlich geschaltet habe. Vielleicht hätte ich das schon vorher machen sollen, aber so funktioniert es auf jeden Fall. Man muss sich das Leben nicht unnötig kompliziert machen, oder?

[Tobi]

die Firewall meines Hosters vor den Server zusätzlich geschaltet habe.

Genau das wäre meine Empfehlung für Menschen mit erhöhten Sicherheitsanforderungen gewesen.

Besser ist es die Spammer, Scammer, Bauernfänger gar nicht erst bis zu Server IP vordringen lassen. Kostet alles nur unnötig Traffic & Rechenzeit.

Und da es sich nicht um eine Frage zur Benutzung handelt, verschiebe ich alles nach OT.

[slowmo]

Nächstes Projekt wird dann wahrscheinlich eine E-Mail-Gateway werden, da Rspamd leider nicht zuverlässig genug filtert. Bzw. mich zu sehr eingeschränkt bei E-Mail-Weiterleitungen. Die Spamer machen sich anscheinend lupenreine SPF, DKIM, DMARC Server zu nutze, um darüber Mails an mich weiterzuleiten.

Momentan bekommen diese Mails einen hohen Score, da ich sonst nur noch Müll im Postfach habe.

Aber das ist ein anderes Thema

[Jolinar]

Ich merke schon, Grundsatzdiskussionen und Religionsfragen spielen hier eine größere Rolle, als technische Hilfestellung. Echt schade.

Wie kommst du auf das schmale Brett...?

Dass CrowdSec Fail2ban überlegen ist, erschließt sich nur jemanden, der es auch mal selbst getestet hat und nutzt.

Du bist echt der Held im Zelt...Meine Kompetenz anzweifeln, aber ufw als 'zusätzliche Firewall' installieren...Den hab ich verstanden

[Blubby]

... weil fail2ban leider nicht ausreichend vor Kriminellen & Spamern schützt...

Das tut leider garnix, mit genügend Aufwand gehen sie einem trotzdem auf den Keks

Die Spamer machen sich anscheinend lupenreine SPF, DKIM, DMARC Server zu nutze, um darüber Mails an mich weiterzuleiten.

Joa, deswegen habe ich auch so meine Zweifel das dass letztendlich was bringt ausser mehrarbeit weil Google und Co den Kram verlangt

Hat jemand einen Tipp, wie ich SSH über eth0 deaktivieren und dafür über tailscale0 aktivieren kann?

Du könntest in der sshd_config einfach ListenAddress mit der Tailscale ip füttern.
Dann brauchst du aber ein Plan B für den Fall das Tailscale mal hängt oder aus sonstigen Gründen gerade nicht nutzbar ist.


Witzigerweise habe ich mich heute auch noch mal mit Tailscale beschäftigt und habe da noch grundsätzliche bedenken. Immerhin lagerst du das komplette Netzwerk bei nem externen Anbieter dem du da vertrauen musst das er keinen Unsinn macht. Und ja ich weiss das es noch Headscale gibt aber das ist mir den Aufwand nicht wert.

[slowmo]

Ja, die ganzen Spammer & Cyberkriminellen sind schon mächtig auf Zack. Das bekommt man erst mit, wenn man wirklich aufmerksam seine Logs verfolgt und sehr restriktiv alles sperrt, was da am Server schnüffelt.

Ich habe ja auch gar nichts gegen SPF, DKIM, DMARC, DNSSec, MTA-STS, etc. - Als die Protokolle zu Beginn des Internets entwickelt wurden, hatte man ein anderes Verständnis von Sicherheit & Risiko. Heutzutage macht es durchaus Sinn Ende-zu-Ende-Verschlüsselungen anzustreben, wenngleich der Aufwand einigermaßen stimmen muss. Beim Thema Mail bewegen wir uns auf ganz dünnem Eis. Wichtige Inhalte, lausige Kommunikationswege, unerfahrene Nutzer, niemand der sich die Mail-Header genauer ansieht, nicht mal die Mail-Clients selbst. Einfach nur grausam.

Hier würde ich mir von Keyhelp mehr Einstellungsmöglichkeiten wünschen, damit fehlerhafte Logins auch schon ab der ersten falschen Eingabe mit der Höchststrafe (= IP Ban) bestraft werden. Da ich den Keyhelp-Server nur privat nutze, ist es auch okay, wenn jeder Angreifer & Spamer draußen bleibt.

Wer Tailscale nicht vertraut, kann auch auf Headscale (oder Wireguard) ausweichen. Tut das gleiche, sehe aber für mich persönlich kein Problem darin. Finde die Debatte über Vertrauen inzwischen schon esoterisch, da niemand von uns in der Praxis noch Herr über die "Chain of Trust" ist. Angefangen beim OS, der Hardware, der Ehrlichkeit der Hersteller über 0-day-Exploits, staatliche Stellen, die ganze CA-Geschichte und welchen Root-Zertfikaten man vertrauen kann, der Wahl des Browsers (GOOGLE Chrome ist sehr weit verbreitet ... würg!!!), und und und ... Schon richtig, man muss Tailscale vertrauen. Aber solange ich nichts negatives gehört/gelesen habe, werde ich nutzen. Das Selbe gilt für Cloudflare und CrowdSec.

Übrigens, als Rückfallebene zu Tailscale habe ich Hetzner's Cloud-Konsole
Die sperrt mich nicht so bald aus.
Und dann gibt es ja noch BackUps ....

[Jolinar]

Hier würde ich mir von Keyhelp mehr Einstellungsmöglichkeiten wünschen, damit fehlerhafte Logins auch schon ab der ersten falschen Eingabe mit der Höchststrafe (= IP Ban) bestraft werden.

Wenn du einen Funktionswunsch für das Panel hast, steht es dir frei, dies in der entsprechenden Forensektion zu formulieren.

[tab-kh]

Hier würde ich mir von Keyhelp mehr Einstellungsmöglichkeiten wünschen, damit fehlerhafte Logins auch schon ab der ersten falschen Eingabe mit der Höchststrafe (= IP Ban) bestraft werden. Da ich den Keyhelp-Server nur privat nutze, ist es auch okay, wenn jeder Angreifer & Spamer draußen bleibt.

Die Möglichkeit dazu lässt dir Keyhelp doch, du kannst fail2ban einstellen wie immer du magst. Du musst auch nicht die kh-irgendwas Jails nutzen wenn du nicht magst. Oder du kannst die kh-irgendwas Jails eben so restriktiv konfigurieren wie du willst. Auch so, dass der erste fehlerhafte Login auch gleichzeitig der letzte ist, bis die IP manuell wieder entsperrt wird.

Die Defaulteinstellungen der Keyhelp Jails sind freilich ziemlich lax und eher auf Server ausgelegt, die auch Kunden beherbergen, die sich ansonsten schon öfter mal aussperren würden. Mein privater Mailserver hatte vor kurzem noch über 4000 gebannte IPs im Postfix-Jail. Die derzeitige Attacke dauert mittlerweile schon ca 3 Monate an, ebbt jetzt aber langsam ab. Die Botnetze werden halt auch immer größer.

[slowmo]

Nun ja, ich wünsche mir eben einfach nativen Support von der Keyhelp-GUI aus, denn dafür liebe und ich schätze ich Keyhelp ja so sehr. Es nimmt einem unheimlich viel Arbeit ab, strukturiert es leicht verständlich und ich muss eben nicht andauernd per SSH auf die Kiste, um hier und da noch in den Configs und CLI zu basteln.

Keyhelp ist das Gegenteil von „Basteln wollen“.
Keyhelp ist meine Produktive Umgebung, wo ich möglichst zuverlässig Mails- und Webseiten laufen lassen will.
Alles Experimentelle läuft auf meiner Docker-Dev-Umgebung.

Wenn das jedenfalls mit den Mail-Wahnsinn so weiter geht, bin ich ernsthaft am überlegen zu einem SaaS Anbieter zu wechseln oder ein Proxmox Mail Proxy davor zu schalten. Ich weiß es noch nicht. Es kostet mir einfach zu viel Zeit & Energie solche Angreifer manuell zu neutralisieren. Man sieht ja, dass sie sich der „laxen Basiskonfiguration“ zu Nutze machen.

Ich würde die Nutzer lieber einmal mehr automatisch aussperren, sie dann manuell wieder entsperren als, jeden Hacker an meine „Tür“ klopfen zu lassen.

[Jolinar]

Ich würde die Nutzer lieber einmal mehr automatisch aussperren, sie dann manuell wieder entsperren als, jeden Hacker an meine „Tür“ klopfen zu lassen.

Das birgt aber dann auch das Risiko, daß deine Nutzer bzw. Kunden sich einen anderen Mailanbieter suchen.
Ich jedenfalls würde mir das als Kunde nicht allzu lange anschauen wollen, wenn mein Zugriff häufiger vom System geblockt würde und ich dann immer erst den entsprechenden Support um Freigabe bemühen müßte...

BTW:

Wenn das jedenfalls mit den Mail-Wahnsinn so weiter geht

Ich verstehe das Problem ehrlich gesagt nicht wirklich...Das was du als Wahnsinn bezeichnest, ist in meinen Augen eigentlich nur ganz normales Grundrauschen. Zugegeben ist es in den letzten Jahren etwas mehr geworden, aber es ist trotzdem Grundrauschen, welches die Funktionsfähigkeit eines Mailservers nicht wirklich beeinträchtigen sollte (außer du betreibst den Server aus einem Rasp Pi ).

[slowmo]

Das ist Blödsinn.

1. Zugangsdaten gibt man nur einmal ein. Danach läuft's.
2. Wer sie von Hand eingibt (Passwörter die man sich merken kann) ist ein Vollidiot
3. Es gibt Passwortmanager für alle Betriebssysteme. Willkommen im 21. Jahrhundert.

Es ist wichtig zu betonen, dass die automatische Sperrung von Nutzern keine Reaktion auf ein technisches/physikalisches Rauschen (SNR) ist, sondern vielmehr eine präventive Maßnahme gegen relevante Sicherheitsbedrohungen. Diese Bedrohungen sollten nicht unterschätzt werden, und es ist unsere Verantwortung als Admins, die Sicherheit unserer Plattform und die Daten unserer Nutzer zu gewährleisten. Indem wir verdächtige/kriminelle Aktivitäten automatisch erkennen und blockieren, können wir proaktiv gegen mögliche Angriffe vorgehen und das Risiko von Sicherheitsverletzungen (= Straftaten !!!) minimieren. Die Sicherheit unserer Nutzer hat oberste Priorität, und wir sollten alle verfügbaren Mittel nutzen, um sie zu schützen.

Dazu gehört auch eine gewisse Form der Medienkompetenz-Erziehung.
(Keine einfachen leicht zu merkenden Passwörter!!! + Fehleingaben führen zur Sperrung/IP-Ban)

Keyhelp könnte die Restriktivität sogar feinabstimmen lassen, sodass IP-Adressbereiche aus Deutschland (oder welches Land auch immer man haben will) drei Eingabeversuche haben. Das setzt aber gut gepflegte GeoIP-Listen voraus. (API-Key kostenlos hier verfügbar: https://dev.maxmind.com/geoip/docs/web- ... s/requests )

[Jolinar]

Das ist Blödsinn.

Echt jetzt?
Wenn du auf diesem Niveau diskutieren willst, kann ich dir gerne mal all die Stellen aufzeigen, wo du Blödsinn geschrieben hast!

[slowmo]

Nicht kritikfähig? Aber selbst ständig am Austeilen? Lach!

*Dir auf die Schultern klopf*

Wenn Du schon keine fachlichen Argumente hast, wirst Du ständig persönlich, was?