Hi,

ich habe 2 Server gemietet, bei denen aber der Provider die SICHERHEIT wohl klein schreibt.

Als erstens habe ich den ssh-Login für root deaktiviert, aber wie kann ich mich vor Brutforceattacken schützen.

Beispiel:

bei der 1. Fehlanmeldung 10 Sekunden warten
bei der 2. Fehlanmeldung 20 Sekunden warten
bei der 3. Fehlanmeldung 30 Sekunden warten

oder

bei der 1. Fehlanmeldung ohne Verzögerung
bei der 2. Fehlanmeldung ohne Verzögerung
bei der 3. Fehlanmeldung ohne Verzögerung
bei der 4. Fehlanmeldung Account für 10 Minuten gesperrt ?

Danke für Eure Hilfe

Original geschrieben von franco

ich habe 2 Server gemietet, bei denen aber der Provider die SICHERHEIT wohl klein schreibt.

Als erstens habe ich den ssh-Login für root deaktiviert, aber wie kann ich mich vor Brutforceattacken schützen.

Beispiel:

bei der 1. Fehlanmeldung 10 Sekunden warten
bei der 2. Fehlanmeldung 20 Sekunden warten
bei der 3. Fehlanmeldung 30 Sekunden warten

oder

bei der 1. Fehlanmeldung ohne Verzögerung
bei der 2. Fehlanmeldung ohne Verzögerung
bei der 3. Fehlanmeldung ohne Verzögerung
bei der 4. Fehlanmeldung Account für 10 Minuten gesperrt ?


such mal nach 'pam modules'. auf anhieb fallen mir pam_tally und pam_unix ein. passen zwar beide nicht 100% auf das, was du willst, aber pam_module sind sehr einfach. das kannst du dir locker selbst schreiben (oder schreiben lassen).

-j

moin moin

und ganz auf passwörter verzichten, kommt nicht in frage?


Gruß HL

um ssh abzuhärten und passwd. auth. zu stoppen, nutze dies

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
PermitEmptyPasswords no

damit sind bruteforceangriffe eigentlich sinnlos
du nutzt dann zur auth das public/private-key verfahren (RSA)

greez

@emba

darauf wollte ich hinaus ;).


Gruß HL

Hast Du's verstanden franco?
Man braucht gar keine Passwörter :)

hm,

das mit dem

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
PermitEmptyPasswords no

damit sind bruteforceangriffe eigentlich sinnlos
du nutzt dann zur auth das public/private-key verfahren (RSA)

hört sich ja gut an, aber ich bin sehr viel unterwegs (auch im Ausland) und muss mich dennoch von jedem x beliebigen PC einloggen können !

Gibt es da noch ne andere Möglichkeit ?


Gruss franco

AFAIK hast du nur 2 möglichkeiten:

PASSWD oder KEY

ersteres geht logischerweise immer, ist meines erachtens nach aber nicht so sicher

du könntest es so machen:
für windowsclients nimmst du eine kleine diskette oder usb stick immer mit und spielst da deinen privaten key und putty drauf
der key muss vorher in das von putty verständliche format gewandelt werden

für linux clients, wo ein ssh-client zum guten standard gehört, reicht der private key aus, insofern open ssh mit der richtigen protokollversion (SSH2) vorhanden ist

das sollte doch reichen oder?

greez

Danke für die Zahlreichen Tipps.

Ich werde mich für die Disketten/USB-Stick-Variante entscheiden.


Gruss Franco