SSH absichern (war: Re: skript mit dynamischer ip)
Am Mittwoch, 24. Juni 2015, 11:20:03 schrieb Cyril Alberts:
> Hallo,
Hallo Cyril,
> Ich hatte mir ein Skript geschrieben, das rigoros Cracker und Spammer
> von meinem Anschluß ausschließt. Wer z.B. phpmyadmin oder mediawiki auf
> meiner Seite ansurfen will, fliegt raus, ein falscher ssh Login- raus!
mein Laptop und mein Router und meine Server-VM im Internet lassen SSH-
Logins grundsätzlich nur per SSH-Schlüssel zu.
Eine Brute Force-Attacke gegen ein Passwort ist so nicht möglich, es sei
denn, jemand gerät in den Besitz eines privaten Schlüssel-Teils, dessen
öffentlicher Gegenpart auf dem Server in die authorized_keys eingetragen ist.
Natürlich ist auch eine Brute Force-Attacke gegen den privaten Schlüssel
denkbar. Aber mit RSA 4096 Bit halte ich das doch noch für relativ
aufwendig. Auch wenn ich zwischenzeitlich wieder von einigen ssh-keygen-
Optionen gehört habe, mit denen es angeblich möglich, bei gleicher Bitlänge
noch sicherere Schlüssel zu erzeugen.
ecdsa vertraue ich derzeit nicht so recht, vielleicht ed509? Läuft aber dann
nur auf hinreichend neuen Systemen.
Für den Apache-Webserver habe ich seit Jahren mod-evasive am Laufen. Das
scheint zu tun. Gibt dann einfach nach heftigen Klicken auf das Neuladen-
Symbol im Browser für eine Weile ein HTTP Forbidden zurück.
Aber fail2ban wäre wirklich auch mal ne Option, sich das anzuschauen, da es
wohl generischer ist.
Ciao,
--
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Reply to: