Am Freitag 12 September 2008 schrieb Sven Hartge: > Martin Steigerwald <Martin@lichtvoll.de> wrote: > > Der Treppenwitz ist, dass auf meinem Server bereits das Ändern das > > SSH-Ports reicht, um solche oft wohl automatisierten Scans und > > Attacken zu vermeiden: > > > > mondschein:~> zgrep "Fail" /var/log/auth.log* > > mondschein:~#1> > > Bin there, did that. > > 3 Tage User-Support später habe ich das wieder geändert. > > Für den eigenen Server mag das eine Lösung sein, aber für Server, die > einer größeren User-Gruppe zur Verfügung stehen, machst du dir damit > keine Freu(n)de. Wir machen das auch in der Firma so - zumindest für Server, die im Internet stehen. Allerdings weiß es da jeder. Meistens;-). Ich habe einen Kunden erst vor kurzem in seiner Firewall suchen lassen, warum SSH eines von mir mitgebrachten Servers nicht erreichbar ist, bis wir nochmal im Rechenzentrum unten waren und mir dann erst wieder klar wurde, dass das Ding ja standardmäßig einen anderen Port für SSH verwendet. Im Grunde gilt natürlich: 1) Weder ist es erforderlich. 2) Noch bringt es verläßliche Sicherheit. 3) Zum *Absichern* von SSH gab es in diesem Thread wesentlich wichtigere Ideen und Vorschläge. Es ist für mich / uns derzeit nur eine angenehme Methode, um das Protokoll-Spamming zu vermeiden. -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.