Tag täglich finden im Netz Angriffe statt. Hab mir mal den Spass gemacht und Fail2Ban visuell dazustellen. Hier das Ergebnis:
Einer der Gründe wieso man sein Linux absichern sollte
Es gibt 6 Antworten in diesem Thema, welches 1.546 mal aufgerufen wurde. Der letzte Beitrag () ist von sliderffm.
-
Tag täglich finden im Netz Angriffe statt. Hab mir mal den Spass gemacht und Fail2Ban visuell dazustellen. Hier das Ergebnis:
Stellt sich die Frage, muss der Dienst überhaupt öffentlich bereitgestellt werden? Würde hier eventl. ein VPN-Zugang ausreichend sein und darüber den SSH-Zugriff zugänglich zu machen? Um so weniger Angriffsfläche um so besser.
SSH-Zugang absichern ist immer gut, da fällt mir neben Fail2Ban noch weitere Möglichkeiten ein, wie z.b.
- SSH-Port ändern
- Kein Login mit Benutzername und Passwort, sondern nur über Keys
- Sichere Einstellungen für KexAlgorithms, Ciphers, MACs und HostKeyAlgorithms, z.b. kein MD5, SHA1 oder CBC verwenden.
- Root Login verbieten
- X11Forwarding abschalten
- SSH-Agent-Forwardings abschalten
- Port-Forwardings abschalten
- Aktive Verbindungen, die nicht genutzt werden automatisch ausloggen nach einem bestimmten Zeitraum
- Nur bestimmten Benutzter erlauben eine SSH-Verbindung herzustellen
- Max. Authentifizierungsversuche begrenzen
- Authentifizierungsdauer begrenzen, wann eine Anmeldung abgeschlossen sein muss
- Nicht benötigte Authentifizierungsmethoden deaktivieren, wie z.b. Kerberos, GSSAPI usw..
- benutzerdefinierte Umgebungsvariablen deaktivieren, wenn diese nicht genutzt werden
- SSH-Banner deaktivieren
- SSH-Zugriff nur von bestimmten IP-Adressen zulassen
Die aktuellen SSH-Server-Einstellungen können z.b. mit dem Python-Programm ssh-audit überprüft werden.
-
Meine server haben eine zweite lan interface mit einer interne ip die von aussen nicht erreichbar ist.
Und dort läuft die ssh drauf
-
Ich habe die bekanntesten Blocklisten von Spamhaus und co. in meiner Firewall drin.
Ebenfalls habe ich noch ne eigene Blockliste, wo auffällige IPs landen. Da nicht alle Angreifer hintereinander Logins versuchen sondern nach jedem Fail den nächsten Server testen und so erst nach 1 Std. wieder erneut einen Login probieren.
Ebenfalls wichtig sind so Länder, wo man weiß, das man da keine Verbindungen benötigt, blockiert.
Nach etwa einem Monat Logs prüfen und blockieren, sieht es auf dem Server recht ruhig aus.
PS: für die VPN Fetischistischen hier
auch die VPN Ports werden regelmäßig ab- bzw. ausgetestet!
Generell sollte ein Server nicht ohne Fail2Ban und entsprechender Infrastruktur im Netz betrieben werden.
Genauso wie sichere Passwörter und 2FA.
-
Ich habe die bekanntesten Blocklisten von Spamhaus und co. in meiner Firewall drin.
Aber nicht in der Unifi-Firewall oder? Wenn doch, würde mich interessieren, wie du dort die Listen einpflegst.
PS: für die VPN Fetischistischen hier
auch die VPN Ports werden regelmäßig ab- bzw. ausgetestet!
Ja, auch die Dienste sollten abgesichert werden
Generell sollte ein Server nicht ohne Fail2Ban und entsprechender Infrastruktur im Netz betrieben werden.
Genauso wie sichere Passwörter und 2FA.
-
sliderffm Nein
, nicht in der UDM. Da hatte ich ähnliche F2B wie … ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂Hab mir eine OPNsense angeschafft, seit dem ist das Leben etwas entspannter
Infrastruktur ist noch Unifi, nur der Router nicht mehr.
-
sliderffm Nein
, nicht in der UDM. Da hatte ich ähnliche F2B wie … ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂
Hab mir eine OPNsense angeschafft, seit dem ist das Leben etwas entspannter
Das habe ich mir schon gedacht, die Blocklisten-Verwaltung in der OPNsense ist schon super
