speckthehut
Hacker
Hallo!
Seit Monaten befasse ich mich mit der Sicherheit von Unix Basierenden Serversystemen. Das "weitgehendeste" Absichern von SSH ist da kein Problem mehr. Doch bleibt da eine Frage Offen.
Und zwar habe ich auf meinem Homeserver den SSH Server mit SSH Pub - Privatekey eingerichtet (Wobei mir diese Anleitung sehr geholfen hat -> https://www.digital-eliteboard.com/showthread.php?170819-SSH-Zugriff-mit-authorized-Keys)
Anfangs hatte ich alles für einige Stunden nur über ein Passwort laufen gehabt. Da hat es nicht lange gedauert bis die ersten Bots ihre brootforce Attacken gestartet haben. Meine Logdatei ging da sehr schnell auf mehrere Megabyte hoch.
Doch seit dem die Pubkey Auth eingeschaltet ist passiert da nichts mehr! Ich sehe keine Angriffsversuche im Log! Nur meine eigenen Logeinträge.
Wisst ihr ob da so seine richtigkeit hat? Der Port ist vorerst unverändert auf 22.
Kuss und Gruß!
#####################################
Habe die Lösung!
Und zwar muss man den Loglevel in der ssh.conf unter /etc/ssh/ von INFO auf VERBOSE Einstellen. Dann zeigt der Log auch Fehlversuche mit Private Key´s an. Auf die Art kann Fail2Ban auch solche Versuche Bannen!
Auszug aus der ssh.conf von Fail2Ban:
Seit Monaten befasse ich mich mit der Sicherheit von Unix Basierenden Serversystemen. Das "weitgehendeste" Absichern von SSH ist da kein Problem mehr. Doch bleibt da eine Frage Offen.
Und zwar habe ich auf meinem Homeserver den SSH Server mit SSH Pub - Privatekey eingerichtet (Wobei mir diese Anleitung sehr geholfen hat -> https://www.digital-eliteboard.com/showthread.php?170819-SSH-Zugriff-mit-authorized-Keys)
Anfangs hatte ich alles für einige Stunden nur über ein Passwort laufen gehabt. Da hat es nicht lange gedauert bis die ersten Bots ihre brootforce Attacken gestartet haben. Meine Logdatei ging da sehr schnell auf mehrere Megabyte hoch.
Doch seit dem die Pubkey Auth eingeschaltet ist passiert da nichts mehr! Ich sehe keine Angriffsversuche im Log! Nur meine eigenen Logeinträge.
Wisst ihr ob da so seine richtigkeit hat? Der Port ist vorerst unverändert auf 22.
Kuss und Gruß!
#####################################
Habe die Lösung!
Und zwar muss man den Loglevel in der ssh.conf unter /etc/ssh/ von INFO auf VERBOSE Einstellen. Dann zeigt der Log auch Fehlversuche mit Private Key´s an. Auf die Art kann Fail2Ban auch solche Versuche Bannen!
Auszug aus der ssh.conf von Fail2Ban:
^%(__prefix_line)sFailed (?assword|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$
Zuletzt bearbeitet:
