Jimini
PCGH-Community-Veteran(in)
AW: [Debian WebServer] index.html und index.php führen beide zu index.html ...
- SSH-Zugang möglichst nur für einen einzigen unprivilegierten User
- SSH-Login mittels Keyfile
- SSH-Zugang nur von einer IP erlauben (falls man eine feste IP zur Hand hat, ansonsten zuhause eine DynDNS-Adresse verwenden und diese ins iptables-Skript einbauen, welches aber regelmäßig neugestartet werden muss, um auch nach IP-Änderungen des Heimanschlusses noch einen Zugang zuzulassen!)
- SSHd nicht auf Port 22 laufen lassen - das schreckt fähige Angreifer zwar nicht ab, erspart einem aber mitunter sehr viele Loginversuche durch Skripts und Bots
MfG Jimini
Ich würde das nicht so ernst nehmen. Solche Äußerungen fasse ich in aller Regel eher als Wichtigtuerei auf - nichtsdestotrotz sollte man es Fremden möglichst schwer machen, sich root-Zugang zu verschaffen. Also:Sofern er den Login nur mit Zertifikaten erlaubt halte ich das für ein Gerücht (selbst mit Passwort würde das nur bei einem sehr schwachen Passwort klappen).
Nachdem er Wheezy nutzt sollte auch der OpenSSH Server realtiv aktuell sein, sprich entweder du kennst eine ungepatchte Sicherheitslücke oder deine Aussage beruht nur auf der Annahme eines schwachen Passwortes.
Selbstverständlich sprechen wir hier nur über OpenSSH. Den 30 Minuten Angriff bei einem aktuellen OpenSSH Server der zwar root Login erlaubt, aber diesen nur auf Zertifikatsbasis mit SSH-2 würde ich gerne sehen.
- SSH-Zugang möglichst nur für einen einzigen unprivilegierten User
- SSH-Login mittels Keyfile
- SSH-Zugang nur von einer IP erlauben (falls man eine feste IP zur Hand hat, ansonsten zuhause eine DynDNS-Adresse verwenden und diese ins iptables-Skript einbauen, welches aber regelmäßig neugestartet werden muss, um auch nach IP-Änderungen des Heimanschlusses noch einen Zugang zuzulassen!)
- SSHd nicht auf Port 22 laufen lassen - das schreckt fähige Angreifer zwar nicht ab, erspart einem aber mitunter sehr viele Loginversuche durch Skripts und Bots
MfG Jimini