Hallo Miteinander, vielen Dank an alle, die sich hier rege beteiligt haben. Ich will nicht auf jede einzelne Mail antworten zumal sich einiges doppelt. Deshalb fasse ich hier mal alles zusammen. Die mir bisher noch nicht bekannten Vorschläge an Tools wie fwknop oder Applied Crypto Hardening muss ich mir mal noch in Ruhe zu Gemüte führen. Martin schrieb am 21.06.2019 um 11:53: > *Keine Passwörter*. Weder für root noch für irgendeinen anderen > Benutzer. War eh so eingestellt. Offensichtlich loggt aber sshd Anmeldeversuche mit Passwort trotzdem mit und logcheck schickt dann zeitnah die Fehlversuche per Mail. Auf logcheck und die damit verbundenen Mails möchte ich auch nicht verzichten, um irgendwelche Ungereimtheiten frühzeitig erkennen zu können. > - sshguard oder fail2ban IMHO greifen diese Tools bei dem hier vorliegenden Fall leider nicht. Nach intensiver Auswertung der Logfiles wurden 184 Einbruchsversuche unter 147 Usernamen registriert. Dabei wurden zwar "nur" 83 IP-Adressen verwendet, die Mehrfachverwendung von IP-Adressen liegt aber zeitlich soweit auseinander, dass sshguard oder fail2ban das nicht als ungewöhnlich registrieren. Die geografische Verteilung der IP-Adressen ähnelt der, die ich vor Jahren registriert hatte, als der Server noch auf Port 22 lief, wenn auch die Anzahl damals exorbitant höher war. Platz 1 China Platz 2 Rumänien Platz 3 Bulgarien Platz 1 lässt sich damit erklären, dass bei der hohen Bevölkerungszahl prozentual gesehen auch die Zahl der böswilligen Hacker steigt. Platz 2 und 3 dürften gekaperte Rechner sein. Gut ausgebildete IT-Leute, die sich ausgerechnet dort niederlassen, halte ich eher für unwahrscheinlich. > > - anderen Port hast du ja schon > > - SSH auf Benutzer einer bestimmten Gruppe beschränken: Achtung! Auch > root muss in der Gruppe sein, falls du Anmeldung als Root erlauben > möchtest (ich sehe da kein Problem mit, wenn du alleine auf dem > Server hantierst und nur SSH-Schlüssel erlaubst) > Könnte ich noch machen, bei den wenigen Benutzern kein Problem. Ich hab aktuell das Problem vorerst so gelöst, dass ich über hosts.deny/hosts.allow den ssh-zugriff auf die eigene Domain beschränkt habe. Damit sind Zugriffsversuche von außen erst mal geblockt, was nicht heißt, dass sie trotzdem stattfinden. Wenn ich selbst von irgendwo auf der Welt mal zugreifen muss, mach ich das eh über VPN. > - Wenn Du darüber hinaus Zeit investieren möchtest, lasse lynis > laufen und implementiere, was immer dir von den Empfehlungen, die das > Tool auswirft, sinnvoll erscheint. Ich habe längst nicht alles davon > umgesetzt, aber das mit der Gruppe für SSH-Benutzer hab ich mir > herausgezogen. Das schau ich mir auf jeden Fall noch mal an. Vielen Dank nochmals an alle. Viele Grüße Uwe -- Debian GNU/Linux 10 (buster) Kernel 4.19.37-3 Sag NEIN zu globalen Spionageprogrammen! <https://prism-break.org/#de> <http://www.frankgehtran.de/>
Attachment:
pgphUCFyEPqaM.pgp
Description: Digitale Signatur von OpenPGP