SSH schützen

Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge
Erweiterte Suche  

Autor Thema: SSH schützen  (Gelesen 4207 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

echoslider

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 18
SSH schützen
« am: 24.Juni 2007, 08:27:49 »

Einlogen über den Root Account über SSH(z.b mit Putty)


Root Passwort:
Das Root Passwort sollte man so ändern das es mehrere Zahlen,Buchstaben und Sonderzeichen enthällt. Bei den Buchstaben sollte auch noch die Groß- und Kleinschreibung beachtet werden. Ich habe z.b ein 20 Zeichen Passwort mit all den oben genannten Zeichen.
Dass Passwort kann man mit dem folgenden Befehl ändern>

passwd


Arbeitsuser erstellen:
Unter Linux sollte man wenn möglich keine Sachen als Root User starten. Deswegen legt man einen "Arbeitsuser" an.
Der Befehl dazu lautet>

adduser USERNAME


Root Login verbieten:
Den direkten Root Login über z.b  Putty sollte man verbieten. Wenn man eingelogt ist kann man ja zum Root wechseln. Aber der direkte Login sollte verhindert werden. Die Konfigurations-Datei befindet sich in /etc/ssh/sshd_config. Bearbeiten kann man sie mit>

nano /etc/ssh/sshd_config

In der Konfigurationsdatei steht

PermitRootLogin yes

was man auf

PermitRootLogin no

ändern sollte.

SSH neustarten:
Unter Debian>
/etc/init.d/sshd restart

Die Konsole(Putty nicht schließen) da falls man einen Fehler gemacht hat die Verbindung trotzdem Bestehen bleibt.
Neues Putty Fenster öffnen und den direkten Root Login testen. Wenn keine Verbindung zustande kommt ist alles richtig.
Jetzt Noch mit dem "Arbeitsuser" testen. Wenn eine Verbindung akzeptiert wird ist alles richtig.
Jetzt zum Root User werden mit>

su

Port-Knocking:
Man sollte den SSH Port grundsätzlich blocken und durch bestimmte Anklopfsignale an bestimmten Ports nur einer bestimmten IP zugriff auf den SSH Port geben. Portscanner listen den SSH Port einfach nicht auf und auch Bruteforce Angriffe auf diesen Port werden verhindert... da er ja immer geschlossen ist und nur für eine autorisierte Person die speziel am Server angeklopft hat geöffnet wird.Unter Debian kann man knockd installieren mit>

apt-get install knockd

Die Konfigurationsdatei befindet sich bei Debian unter /etc/knockd.conf die mit>

nano /etc/knockd.conf

geöffnet werden kann. Hier mal eine Beispiel Konfiguration.

[options]
logfile = /var/log/knockd.log

[openSSH]
sequence    = 111,222,333
seq_timeout = 5
        command     = /sbin/iptables -A INPUT -s %IP% -p tcp --sport 22 --dport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT && /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 --sport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
tcpflags    = syn

[closeSSH]
sequence    = 444,555,666
seq_timeout = 5
command     = /sbin/iptables -D INPUT -s %IP% -p tcp --sport 22 --dport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT && /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 --sport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
tcpflags    = syn

Hier wird SSH erlaubt für eine Bestimmte IP bei dem Anklopfen auf den Ports 111,222,333 und der Zugriff wieder gelöscht beim Anklopfen auf den Ports 444,555,666.

Knockd aktiviren kann man mit>

nano /etc/default/knockd

Der Klient um Anzuklopfen kann man download unter> http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki


Testen>

knockd --debug --verbose

Jetzt den Klienten starten mit der Port Sequenz. In der Putty Konsole müsste dann etwas stehen ob es erfolgreich war oder nicht. Wenn alles erfolgreich war knockd dauerhaft starten mit>

/etc/init.d/knockd start


Beispiel Firewall mit Iptables.

#!/bin/sh
 
 
# iptables suchen
iptables=`which iptables`
 
# wenn iptables nicht installiert abbrechen
test -f $iptables || exit 0
 
case "$1" in
   start)
      echo "Starte Firewall..."
      # alle Regeln löschen
      $iptables -t nat -F
      $iptables -t nat -X
      $iptables -t filter -F
      $iptables -t filter -X
      $iptables -t mangle -F
      $iptables -t mangle -X
      $iptables -X
      $iptables -Z


      # ICMP Dead Error Messages protection.
      echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

      # Max. 500/Sekunde (5/Jiffie) senden
      echo 5 > /proc/sys/net/ipv4/icmp_ratelimit

      # Speicherallozierung und -timing für IP-De/-Fragmentierung
      echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
      echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
      echo 30 > /proc/sys/net/ipv4/ipfrag_time

      # TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
      echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout
      echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
      echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
      echo 0 > /proc/sys/net/ipv4/tcp_sack

      # Maximal 3 Antworten auf ein TCP-SYN
      echo 3 > /proc/sys/net/ipv4/tcp_retries1

      # TCP-Pakete maximal 15x wiederholen
      echo 15 > /proc/sys/net/ipv4/tcp_retries2

      # Required to enable IPv4 forwarding.
      echo "1" > /proc/sys/net/ipv4/ip_forward

      # This enables dynamic address hacking.
      echo "1" > /proc/sys/net/ipv4/ip_dynaddr

      # This enables SYN flood protection.
      echo "1" > /proc/sys/net/ipv4/tcp_syncookies

      # Ping flood protection
      echo 1 > /proc/sys/net/ipv4/icmp_ratelimit

      # This enables source validation by reversed path according to RFC1812.
      echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

      # This option allows a subnet to be firewalled with a single IP address.
      echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp

      # This kernel parameter instructs the kernel to ignore all ICMP
      echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

      # This option can be used to accept or refuse source routed
      echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

      # This option can disable ICMP redirects.  ICMP redirects
      echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

      # This option accepts only from gateways in the default gateways list.
      echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects

      # This option logs packets from impossible addresses.
      echo "1" > /proc/sys/net/ipv4/conf/all/log_martians


      # neue Regeln erzeugen
      $iptables -N garbage
      $iptables -I garbage -p TCP -j LOG --log-prefix="DROP TCP-Packet: " --log-level err
      $iptables -I garbage -p UDP -j LOG --log-prefix="DROP UDP-Packet: " --log-level err
      $iptables -I garbage -p ICMP -j LOG --log-prefix="DROP ICMP-Packet: " --log-level err
 
      # Default Policy
      $iptables -P INPUT DROP
      $iptables -P OUTPUT ACCEPT
      $iptables -P FORWARD DROP

      # über Loopback alles erlauben
      $iptables -I INPUT -i lo -j ACCEPT
      $iptables -I OUTPUT -o lo -j ACCEPT

      if [ -f ports.conf ]; then
      for port in `cat ports.conf`
      do
      $iptables -I INPUT -i eth0 -p TCP --sport $port --dport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
      $iptables -I INPUT -i eth0 -p TCP --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
      $iptables -I INPUT -i eth0 -p UDP --sport $port --dport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
      $iptables -I INPUT -i eth0 -p UDP --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
      done
      fi



      #####################################################
      # Erweiterte Sicherheitsfunktionen
      # SynFlood
      $iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
      # PortScan
      $iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
      # Ping-of-Death
      $iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT




      #####################################################
      # bestehende Verbindungen akzeptieren
      $iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
      $iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
      #####################################################
      # Garbage übergeben wenn nicht erlaubt
      $iptables -A INPUT -m state --state NEW,INVALID -j garbage
 
      #####################################################
      # alles verbieten was bisher erlaubt war
      $iptables -A INPUT -j garbage
      $iptables -A OUTPUT -j garbage
      $iptables -A FORWARD -j garbage
      ;;
   minimal)
        echo "Starte Firewall(minimal)..."
 
     # alle Regeln löschen
      $iptables -t nat -F
      $iptables -t nat -X
      $iptables -t filter -F
      $iptables -t filter -X
      $iptables -t mangle -F
      $iptables -t mangle -X
      $iptables -X
      $iptables -Z


      # ICMP Dead Error Messages protection.
      echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

      # Max. 500/Sekunde (5/Jiffie) senden
      echo 5 > /proc/sys/net/ipv4/icmp_ratelimit

      # Speicherallozierung und -timing für IP-De/-Fragmentierung
      echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
      echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
      echo 30 > /proc/sys/net/ipv4/ipfrag_time

      # TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
      echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout
      echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
      echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
      echo 0 > /proc/sys/net/ipv4/tcp_sack

      # Maximal 3 Antworten auf ein TCP-SYN
      echo 3 > /proc/sys/net/ipv4/tcp_retries1

      # TCP-Pakete maximal 15x wiederholen
      echo 15 > /proc/sys/net/ipv4/tcp_retries2

      # Required to enable IPv4 forwarding.
      echo "1" > /proc/sys/net/ipv4/ip_forward

      # This enables dynamic address hacking.
      echo "1" > /proc/sys/net/ipv4/ip_dynaddr

      # This enables SYN flood protection.
      echo "1" > /proc/sys/net/ipv4/tcp_syncookies

      # Ping flood protection
      echo 1 > /proc/sys/net/ipv4/icmp_ratelimit

      # This enables source validation by reversed path according to RFC1812.
      echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

      # This option allows a subnet to be firewalled with a single IP address.
      echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp

      # This kernel parameter instructs the kernel to ignore all ICMP
      echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

      # This option can be used to accept or refuse source routed
      echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

      # This option can disable ICMP redirects.  ICMP redirects
      echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

      # This option accepts only from gateways in the default gateways list.
      echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects

      # This option logs packets from impossible addresses.
      echo "1" > /proc/sys/net/ipv4/conf/all/log_martians



      # neue Regeln erzeugen
      $iptables -N garbage
      $iptables -I garbage -p TCP -j LOG --log-prefix="DROP TCP-Packet: " --log-level err
      $iptables -I garbage -p UDP -j LOG --log-prefix="DROP UDP-Packet: " --log-level err
      $iptables -I garbage -p ICMP -j LOG --log-prefix="DROP ICMP-Packet: " --log-level err
 
      # Default Policy
      $iptables -P INPUT DROP
      $iptables -P OUTPUT ACCEPT
      $iptables -P FORWARD DROP

      # über Loopback alles erlauben
      $iptables -I INPUT -i lo -j ACCEPT
      $iptables -I OUTPUT -o lo -j ACCEPT


      $iptables -I INPUT -i eth0 -p TCP --sport 22 --dport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
      $iptables -I INPUT -i eth0 -p TCP --sport 1024:65535 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
      $iptables -I INPUT -i eth0 -p UDP --sport 22 --dport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
      $iptables -I INPUT -i eth0 -p UDP --sport 1024:65535 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT




      #####################################################
      # Erweiterte Sicherheitsfunktionen
      # SynFlood
      $iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
      # PortScan
      $iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
      # Ping-of-Death
      $iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT



      #####################################################
      # bestehende Verbindungen akzeptieren
      $iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
      $iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
      #####################################################
      # Garbage übergeben wenn nicht erlaubt
      $iptables -A INPUT -m state --state NEW,INVALID -j garbage
 
      #####################################################
      # alles verbieten was bisher erlaubt war
      $iptables -A INPUT -j garbage
      $iptables -A OUTPUT -j garbage
      $iptables -A FORWARD -j garbage

      ;;
   testing)
      echo "Testing..."
      $0 start
      sleep 180
      $0 stop
      ;;
   stop)
      echo "Stoppe Firewall..."
      $iptables -t nat -F
      $iptables -t filter -F
      $iptables -X
      $iptables -P INPUT ACCEPT
      $iptables -P OUTPUT ACCEPT
      $iptables -P FORWARD ACCEPT
      ;;
   restart|reload|force-reload)
   $0 stop
   $0 start
      ;;
   *)
      echo "Usage: ./firewall (start|stop|minimal|testing|restart|reload|force-reload)"
      exit 1
      ;;
esac
exit 0

Hier wird alles geblockt. Nur die Ports in der ports.conf werden zugelassen.
Gespeichert


White2001

  • Jungspund
  • *
  • Offline Offline
  • Geschlecht: Männlich
  • Beiträge: 158
Re: SSH schützen
« Antwort #1 am: 06.Juli 2007, 20:51:48 »

Zusätzlich kann man tools wie pam_abl einsetzen die automatisch bei bestimmer anzahl von fehlversuchen den user/ die ip sperren.

Gespeichert

meik82

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 3
Re: SSH schützen
« Antwort #2 am: 02.November 2008, 13:44:33 »

das wolte ich auch gerade empfehlen
das ist echt prima so beschriben so das ich dar garnix weiter zu schreiben bräuchte
auser:
es were sinfoll den rootlogin fon anfang an zu blocken
und als user köte zb die kontonummer oder auch wie das pasword eine zufällige sequenz dienen

es gibt einfach fiel zu fiele portscanner die sich auf hunderten servern mit brute force einloggen (versuchen)
und wohl per zufal auch bei einigen auch schaffen
 
MfG Meik

ps. mit dem befehl  [ cat /var/log/auth.log | grep "Failed password" | less ] lassen sich die gescheiterten loginversuche anzeigen (OHNE [ ])
Gespeichert

White2001

  • Jungspund
  • *
  • Offline Offline
  • Geschlecht: Männlich
  • Beiträge: 158
Re: SSH schützen
« Antwort #3 am: 30.Dezember 2008, 12:57:42 »

Was auch recht schnell geht, is ne maximale anzahl von Neuen Verbindungen in 60s per Firewall.
Da ich ssh sowieso ne zeile in der RULES von shorewall hat is das recht schnell gemacht,
und diese Massenscanner  sind nach 5-6 versuchen ausgesperrt.

Und man selbst, muss man halt mal 5-6 minuten warten, oder den notfall port nehmen...
wo ne 2. ssh Instanz drauf läuft.
Gespeichert

markusb

  • Gast
Re: SSH schützen
« Antwort #4 am: 16.Februar 2009, 18:16:39 »

Besteht auch weiterhin die Möglichkeit, dass sich der User nur mit einem Key-File ein loggt?
Das wäre dann ja der perfekte Schutz ;)
Gespeichert

remote-life.de

  • Gast
Re: SSH schützen
« Antwort #5 am: 17.Februar 2009, 00:12:09 »

Du hast einen ganz normalen SSH Server, dessen Port sich durch Port Knocking öffnet/schliesst. Das hat keinerlei Auswirkungen auf deine Loginmethode (passwort, pubkey, ...). Somit sollte sich deine Frage geklärt haben ;)
Gespeichert

CCC1

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 11
Re: SSH schützen
« Antwort #6 am: 17.Februar 2009, 02:42:54 »

hallo, 

vielen dank erstmal für die hilfreiche anleitung =)


ich habe allerdings ein problem:  (vhost/ubuntu)

ich habe iptables und knockd installiert.

beim testen von knockd mit
knockd --debug --verbose

bekomme ich folgenen fehler
config: new section: 'options'
config: log file: /var/log/knockd.log
config: new section: 'openSSH'
config: openSSH: sequence: 22222:tcp,33333:tcp,44444:tcp
config: openSSH: seq_timeout: 5
config: openSSH: start_command: /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
config: tcp flag: SYN
config: new section: 'closeSSH'
config: closeSSH: sequence: 44444:tcp,33333:tcp,22222:tcp
config: closeSSH: seq_timeout: 5
config: closeSSH: start_command: /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
config: tcp flag: SYN
could not open eth0: SIOCGIFHWADDR: No such device


kann mir jemand weiterhelfen, wo das problem liegt?

ich werde seit 2 tagen von verschiedenen zombies mit wortlisten auf sshd gebruteforcet und finde knockd die beste lösung zum blockieren des ssh-ports, da ich einen breitgestreuten DynIP-bereich habe, und nur umständlich einen IPfilter/allow.hosts einbauen kann, bzw im fall der fälle ausgesperrt bin, wenn ich mal wieder nen komplett andere IPrange benutze.

muss ich bei iptables noch was bestimmtes einrichten/konfigurieren?

vielen dank vorab.

[PS: da gerade wieder MASSIVE bruteforces (DoS-ausmass) laufen, habe ich den SSHd port soeben geändert, dennoch möchte ich zusätzlich per knockd arbeiten, da der neue ssh ports sicher bald gefunden werden wird]

greets,
CCC1
« Letzte Änderung: 17.Februar 2009, 11:25:36 von CCC1 »
Gespeichert

remote-life.de

  • Gast
Re: SSH schützen
« Antwort #7 am: 17.Februar 2009, 10:10:34 »

Dein Device ist nicht eth0, sondern venet0 bzw. venet0:0, sofern du einen vServer hier meinst. Ansonsten ist es eben das Device, auf dem dein SSHd nach eingehenden Verbindungen lauscht.
Die Ausgabe von route kann dir bei einer großen Anzahl an Devices helfen herauszufinden, welches Device du letztendlich benötigst. Oder du guckst in der SSHd-Config, welches Device dort eingestellt wurde.
Wenn du der einzige User bist, der auf den SSHd zugreifst wäre es eher ratsam, den SSHd auf deine IP zu beschränken.
« Letzte Änderung: 17.Februar 2009, 10:13:05 von remote-life.de »
Gespeichert

CCC1

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 11
Re: SSH schützen
« Antwort #8 am: 17.Februar 2009, 11:09:16 »

dankesehr.  leider habe ich eine dynIP , die täglich variert 84.* 217.* 213.* etcpp

aber mit der info vserver=/=eth0 & route hast du mir schon geholfen =)

greets,
CCC1
Gespeichert

remote-life.de

  • Gast
Re: SSH schützen
« Antwort #9 am: 17.Februar 2009, 11:18:19 »

Es gibt MIttel und Wege (sogar mit Port Knocking, obwohl das hier dann relativ witzlos ist), damit du den Port nur für deine dynamische IP öffnen kannst ;)
Gespeichert

CCC1

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 11
Re: SSH schützen
« Antwort #10 am: 17.Februar 2009, 11:22:22 »

siehe 2 posts davor.  ich werds mit knockd regeln, dankesehr  =)
« Letzte Änderung: 17.Februar 2009, 11:24:51 von CCC1 »
Gespeichert

drndwarp

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 4
Re: SSH schützen
« Antwort #11 am: 30.März 2009, 19:28:17 »

...Hier wird alles geblockt. Nur die Ports in der ports.conf werden zugelassen.

Wie sollte die ports.conf denn aussehen? z.B. ssh und http? Einfach 22 und 80 reinschreiben klappt bei mir nicht...
Gespeichert

drndwarp

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 4
Re: SSH schützen
« Antwort #12 am: 30.März 2009, 20:20:40 »

Hab den Fehler schon gefunden...  :P
Bei mein Testserver zuhause hab ich den Zugang nach aussen auf eth1 gelegt. In deinem Script liegt er auf eth0. Sowas blödes von mir.  :D
Gespeichert

Jimmyde

  • Grünschnabel
  • *
  • Offline Offline
  • Geschlecht: Männlich
  • Beiträge: 33
    • Fellowship Clan - MultiGamingClan
Re: SSH schützen
« Antwort #13 am: 08.Februar 2011, 19:17:39 »

Hallo,

habe knocked installiert, nach der installation sagt der mir folgendes:

knickd disabled: not starting. To enable it edit /etc/default/knockd (warning).
das warning in klammern irretiert mich etwas. warnt der mich jetzt nur weil es noch nicht gesatrtet wurde?
Gespeichert
MfG
Jimmyde

Jimmyde

  • Grünschnabel
  • *
  • Offline Offline
  • Geschlecht: Männlich
  • Beiträge: 33
    • Fellowship Clan - MultiGamingClan
Re: SSH schützen
« Antwort #14 am: 15.Februar 2011, 21:28:40 »

Hallo,

hab iptables installiert und konfiguriert nach folgender Anleitung

http://www.pro-chip.de/debian/debian-allgemein/269-debian-einfache-firewall-einrichten.html

die port die frei sein sollen hab ich eingegeben, nach der letzten bestätigung kam folgende Meldung

Zitat
**-**-***-**:~# apt-get install arno-iptables-firewall
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
  gawk lynx lynx-cur
Suggested packages:
  lynx-cur-wrapper
The following NEW packages will be installed:
  arno-iptables-firewall gawk lynx lynx-cur
0 upgraded, 4 newly installed, 0 to remove and 19 not upgraded.
Need to get 2926kB of archives.
After this operation, 7436kB of additional disk space will be used.
Do you want to continue [Y/n]? Y
Get:1 http://ftp.de.debian.org lenny/main gawk 1:3.1.5.dfsg-4.1 [721kB]
Get:2 http://ftp.de.debian.org lenny/main arno-iptables-firewall 1.8.8.o-2 [110kB]
Get:3 http://ftp.de.debian.org lenny/main lynx-cur 2.8.7dev9-2.1 [2081kB]
Get:4 http://ftp.de.debian.org lenny/main lynx 2.8.7dev9-2.1 [13.8kB]
Fetched 2926kB in 0s (3778kB/s)
Preconfiguring packages ...
Selecting previously deselected package gawk.
(Reading database ... 33746 files and directories currently installed.)
Unpacking gawk (from .../gawk_1%3a3.1.5.dfsg-4.1_amd64.deb) ...
Selecting previously deselected package arno-iptables-firewall.
Unpacking arno-iptables-firewall (from .../arno-iptables-firewall_1.8.8.o-2_all.deb) ...
Moving plugins from /etc to /usr/share/arno-iptables-firewall/plugins.
Selecting previously deselected package lynx-cur.
Unpacking lynx-cur (from .../lynx-cur_2.8.7dev9-2.1_amd64.deb) ...
Selecting previously deselected package lynx.
Unpacking lynx (from .../lynx_2.8.7dev9-2.1_all.deb) ...
Processing triggers for man-db ...
Setting up gawk (1:3.1.5.dfsg-4.1) ...
Setting up arno-iptables-firewall (1.8.8.o-2) ...
Arno's Iptables Firewall Script v1.8.8o
-------------------------------------------------------------------------------
ERROR: The required variable EXT_IF is empty!
       Please, check the configuration file.
invoke-rc.d: initscript arno-iptables-firewall, action "restart" failed.
dpkg: error processing arno-iptables-firewall (--configure):
 subprocess post-installation script returned error exit status 2
Setting up lynx-cur (2.8.7dev9-2.1) ...
Setting up lynx (2.8.7dev9-2.1) ...
Errors were encountered while processing:
 arno-iptables-firewall
E: Sub-process /usr/bin/dpkg returned an error code (1)

Gespeichert
MfG
Jimmyde

Isalapisa

  • Grünschnabel
  • *
  • Offline Offline
  • Beiträge: 2
Re: SSH schützen
« Antwort #15 am: 04.Februar 2013, 15:33:40 »

ich habe jetzt den Port geändert, und ein keybasierte Authentifikation mit einer Datei via Putty nur erlaubt sich auf mein Root einzuloggen.

Sprich der Root darf sich nur mit der Datei die nur auf meinem Rechner (usb stick wäre besser) gespeichert ist, einloggen.


Also habe ich nun meinen Root so ziemlich abgesichert da andere Port und Fingerabdruck Key.
Was sagt ihr reicht das?

Mich interessiert es noch pam_abl einzusetzen, für diejenigen die trotzdemprobieren, macht es Sinn?

Oder meine Frage ist eher, ob meine Maßnahmen schon völlig ausreicht, wer auf den Root will muss sich auf meinen PC hacken und den Fingerabdruck klauen. Richtig?


ps: Frage hab noch neu aufgesetzt, sieht das nicht komisch aus bei einem neu aufgesetztem system?
sieht das sauber aus?
« Letzte Änderung: 05.Februar 2013, 01:36:47 von Isalapisa »
Gespeichert
 

Seite erstellt in 0.328 Sekunden mit 16 Abfragen.