Re: Sinnvoll fail2ban und SSH-pubkey Authentifizierung kombinieren?
> Ich suche mal nach Eurer Meinung: Ist es sinnvoll, den SSH-Login nur
> über Publickey zu erlauben und zusätzlich noch fail2ban (oder
> ähnliches) zu nutzen?
Naja, fail2ban minimiert den traffic durch ssh-loginversuche - nicht
mehr und nicht weniger. Die Loginversuche hast du auch noch, nachdem
dein Server auf pubkey-verfahren umgestellt ist.
fail2ban und ähnliche "nach x loginversuchen sperren"-Ansätze
haben bei diensten über Internet IMHO sowieso keinen Sicherheitsgewinn.
Ein Angreifer hat bei einem guten Passwort sowieso keine reale Chance,
da per bruteforce oder dictionary-angriff reinzukommen, auch ohne
diese Systeme. Es sei denn, er kennt das Passwort schon, und dann
versagen diese Systeme auch.
Nun zum SSH-Login: Persönlich empfehle ich hier folgendes Setup:
- Nur publickey erlauben
- SSH-Root-Zugriff sperren.
- Einen zusätzlichen Amdin-User anlegen, der bekommt den zugang per key.
- Root hat ein gutes, einmalig verwendetes Passwort.
Damit muss ein Angreifer mindestens zwei Hürden nehmen: Den Zugriff auf
den Admin-User und von da aus dann root werden. Der dezidierte
Admin-User hat den vorteil, dass ein Angreifer, der bis dahin durch
kommt keine Daten sieht, die bei deinem eigentlichen Nutzer liegen.
(Emails, den www-ordner mit php-scripten in denen sensible
datenbankzugänge liegen (mal rumgesponnen), ...)
Liebe Grüße,
Micha
Reply to: