Prima Video, eine Sache muss jedoch angemerkt werden: Wie auch schon in der "jail.conf" Datei selbst beschrieben sollte man die Datei selbst NICHT verwenden (gut zu sehen bei 4:35). Stattdessen sollte man die Datei in eine neue Datei namens "jail.local" kopieren (cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local) und dort seine Änderungen durchführen. So wird vermieden dass es bei Updates zu Vermischungen kommt.
Kann ich die Datei auch als /etc/fail2ban/jail.d/abc.conf speichern? Und was ist, wenn ich meinen SSH-Port geändert habe? Kann ich das so wie im Video stehen lassen oder erkennt das Programm nicht den Nicht-Standard-Port, sodass ich ihn von Hand eintragen muss?
gute Frage, wenn ich den conf eintrag aber richtig deute, müsste er das von alleine erkennen. Andernfalls einfach mal ausprobieren. Wenn du im Auth.log auch jetzt schon einträge hast, kannst du mit der fail2ban.log oder wie auch immer du die nennen willst dann sehen, ob es übernommen wird oder nicht. ^^
TheBeginningOfMusic die jail.local ist sogar kumulativ, also überschreibt teile aus der jail.conf... man muss sie nicht komplett kopieren, sondern nur in die jail.local rein schreiben was man anders haben will als zu den Einträgen in der jail.conf
Wo kann ich eigentlich festlegen, dass jail2ban beim Start die jail.local einliest und nicht die jail.conf? Denn nur dann macht doch die .local überhaupt sinn????
Sehr schön @SemperVideo :) Nur sollte der Sprecher Kommentare in Config-Dateien nicht immer ignorieren :D Das ist wie die Bedienungsanleitung für bestimmte Dinge zu ignorieren: Machen wir gerne, sollte man aber nicht :D Bei 4:51 steht doch was sehr wichtiges für die Konfiguration von Fail2Ban :) Zitat: "HOW TO ACTIVATE JAILS: YOU SHOULD NOT MODIFY THIS FILE! It will probably be overwritten or improved in a destribution update"
Die logpath's unter grep & [ssh] innerhalb der Videobeschreibung sind auch noch auf auth.log und nicht fail2ban.log, wie im Video genannt. Aber für Einsteiger wurde es hervorragend erklärt. :)
Das ist mal ein richtig sinnvolles Video, das selbst ich als Noob verstehe und umsetzen konnte. Herzlichen Dank auch an die Kommentarschreiber, die den Tipp mit jail.local gegeben haben. Genau wegen solcher Videos lohnt sich das Abo von SemperVideo trotz vieler Videos, die ehr einen sinnlos Charakter haben, dennoch.
WICHTIG: 1. Nicht die jail.conf bearbeiten (diese wird bei jedem Update gelöscht), sondern im gleichen Ordner eine jail.local Datei anlegen und die Änderungen dort eintragen.# 2. Wenn ihr den "logpath" ändert wird fail2ban niemanden mehr bannen, da dies nicht die Ausgabedatei der Logs ist, sondern die Datei in der fail2ban nach den Ereignissen sucht. Die /var/log/fail2ban.log wird automatisch erstellt!
Wenn mann das ganze nun noch mit blocklist.de verknüpft dann werden die Provider sogar automatisch über das Fehlverhalten der Nutzer informiert und eine sperre des Anschlusses passiert automatisch sobald die es für nötig erachten
Langsam kommen mir Zweifel mit Blocklist, ob man Forum oder Installationshinweise etc. anklickt,jedes mal landet man auf einer Kindergartenseite.Ob das alles so in Ordnung ist......
Soweit ich weiß, wird die jail.conf Datei bei einem Update zurückgesetzt. Deshalb sollte mal die jail.conf mit dem Namen jail.local kopieren und dort die Einstellungen machen.
Super Video!!! Würde mir ein Video wünschen in dem gezeigt wird wie mal die Mail notification configuriert. Und das nicht vom eigenen Mailserver, sondern wie man eine externe email (z.B. gmail.com) dafür nutzen kann. Gruß
An zu merken ist das es sin in der jail.conf nicht um einen hashtag handelt sondern die gezeigte raute im englischen nur als hash bezeichnet wird. Der Begriff hashtag wird nur verwendet wenn die raute in verbindung mit einem Suchbegriff verwendet wird.
Ich benutze Fail2ban auch schon eine ganze weile, Fail2ban ist sehr gut configurierbar, es ist auch einfach möglich anmeldeversuche die z.B. über apache2 durch ownCloud laufen, auch über den fail2ban abzusicher, theoretisch ist alles darüber in einem jail aufnehmbar. Ich habe nur die Erfahrung gemacht, da mein ownCloud server im Internet von sehr vielen leuten genutzt wird (sehr viel ist für mich 50 leute regelmäßig) das nach ein paar monaten meine logdatei über 300 MB groß war, es ist also nicht schlecht ein kleines skript zu schreiben (internet findet) wodurch man einmal im monat Die logdatei in ein Archiv kopiert und leert, somit kann fail2ban immer schnell die logdateien lesen. (Bei einer logdei von 300 MB braucht fail2ban ca. 20 minuten bei einem neustart bis er funktioniert. :) Schönes wochenende!
Vielleicht noch nett zu erwähnen fail2ban kann auch mit zusammen arbeit eines email servers einem für jede gebannte IP eine email schicken inklusive log dateien und Whois einträgen
hm, könnte man aber auch shcnell das problem bekommen, sich selbst wahnisnnig viele mails zu schicken. je nachdem ob die bot server gerade primetime haben oder nicht
Albert Alexander Deswegen habe ich die direkt im spam ordner liegen ist trotzdem sehr interessant von wo das alles her kommt und was sie machen z.B das sehr viele versuchen sich mit dem namen ubuntu einzuloggen
Schon als mein Server gerade mal ne halbe Stunde online war und nirgendwo verlinkt, hatte ich schon dutzende Authentisierungsfehlschläge von IPs aus Amerika, China und Polen. Ich habe das bei mir so gelöst, dass ich einfach den SSH login über passwort deaktiviert habe sodass ich nur noch per 2048 bit RSA key mit passphrase einloggen kann.Ich denke, dann brauche ich Fail2Ban nicht mehr, oder?
Wie wäre es denn mal mit einem ganzen Tutorial, um seinen Server abzusichern? :) Kenne Leute, die noch nicht mal wissen, wie man mit ssh keys umgeht ^^
Ich hab mal dummerweise meine Email Adresse in Fail2ban angegeben... Mein Mailprovider hatte mir alle 5 Stunden meinen Account gesperrt, weil ich so viel Mails bekommen habe.
warum keinen hohen port und nen 4096 bit ssh schlüssel verwenden ? dann kommt keiner außer du übers inet rein... alles andere ist mir persöhnlich zu unsicher
Es geht denke auch eher darum, dass du das zusätzlich machst. Also um sozusagen einen SSH-DDOS zu vermeiden. Was bringt es dir, dass dein Login sicher ist, wenn du gar nicht reinkommst, weil die Bandbreite von irgendwelchen LoginBots verbraucht wird.
Moin Sempervideo, schönes Video. :) Mich würde mal interessieren, ob es eine Möglichkeit gibt, die eingetragenen IP-Adressen automatisch die passenden Länderkennungen zuweisen zulassen. Wäre halt ein nettes "nice to have", wenn man sich über einen längeren Zeitraum hinweg ansehen kann, woher die Angriffe so kommen oder die Angriffsrichtungen verlagern. ^^
fail2ban-client status sshd Weisst du was auch interessant wäre - wenn noch in der auth.log die Kennwörter der ungültigen versuche mitgeschrieben würden. Weisst du wie/ob das geht - magst ein Video dazu machen?
Gutes Video, man sollte aber eigentlich den SSH-Zugang über ein Passwort komplett deaktivieren und nur authentifikation über Public Key erlauben. Ihr könnt ja dazu nochmal ein Video machen.
12:10 oha "mein" Server hat (wenn ich es richtig getestet hab) auch ne russische ip (leider) Im Vertrag steht glaub dass der Server in Deutschland, in der Schweiz oder in Österreich stehen muss. aber Server ≠ ip 😐
ich glaube es kommt drauf an welche clud man verwendet. wenn man ownCloud einrichtet glaube ich muss man das machen, wenn man die cloud von qnap verwendet dann nicht, aber ganz sicher bin ich mir da auch nicht.
Port ändern hilft manchmal auch schon, oder SSH Port über z.B. firewalld nur für interne Interfaces erlauben (z.B. tun0 bei einer OpenVPN Verbindung) ^^
Haben ein Problem: Und zwar habe ich mir etwas runtergeladen und danach ist mir aufgefallen, dass sich ein Prozess eingemogelt hat und ich ihn nicht schließen kann, trotz Adminrechte. Im Dateipfad waren 3 Dateien(eine konnte ich löschen), aber wenn ich die löschen will steht dort, dass ich Adminrechte dafür brauche. Kann mir da jemand helfen? Was das ist weiß ich nicht.
Habe noch mehr komische Prozesse entdeckt, konnte diese aber alle beenden und deren Dateipfad löschen (der Änderungszeitpunkt war bei allen Dateien immer gleich).
Live Computing das meine ich nicht ignoriere ich mehrere pc's/ip's mit einem komma ? also nsch der zeile einfach 192.168.2.4,192.168.2.5 schreiben oder similkolons verwenden ?
jail.conf zu jail.local kopieren. dort die änderungen machen. logpath ist nicht wo hingeloggt wird sondern von wo gelesen wird. also auth.log ist korrekt nicht fail2ban.log filter für sshd ist sshd. Steht in der beschreibung jetzt eh richtig
Ich hab das Vorgestern mal gemacht und direkt festgestellt dass die Logdatei an einem falschen ort abgespeichert wird. Dennoch hab ich festgestellt dass sehr viele aus China Es Probieren. Mal gucken was die Logdateien morgen so sagen + mit dem Video von Heute. Was mich allerdings mal interessieren würde, ist wie man legal seine E-Mail Adresse im Impressum hinterlegen kann ohne gleich sich den Spam ins Haus holen kann. Mit Plesk hab ich den Spamschutz relativ kritisch eingestellt für meine CatchAll aber dass ist ja nicht Sinn und Zweck. Ich hatte auf meiner alten Webseite den E-Mail Schutz von Cloudflare genommen. Die Zeigen die Mail Adresse nur wenn JS Aktiviert ist. Hat nicht geholfen.
zusätzlich zu Fail2Ban root Sperren SSH Root Login verbieten Wenn Sie direkten SSH Root Login unter Server verbieten wollen, benötigen Sie neben dem Root Benutzer mindestens einen weiteren Benutzer, der sich am Server anmelden darf. Mit diesem Benutzer wechseln Sie dann zum Root Account. ACHTUNG: Wenn Sie keinen weiteren Benutzer angelegt haben, sperren Sie sich selbst vom System aus Editieren Sie die Datei /etc/ssh/sshd_config und setzen Sie PermitRootLogin yes auf PermitRootLogin no Starten Sie anschließend den SSH Dienst neu /etc/init.d/ssh restart (alternativ: service ssh restart) Nun darf sich Benutzer Root nicht mehr direkt am System anmelden. Sie melden sich ganz normal mit einem Benutzer an und wechseln dann mit su in den Root Account.
Den ssh zu sperren ist eine gefährliche Sache. Ich habe mich in Verbindung mit sshd_config gerade selber ausgesperrt, obwohl in letzterer Datei ein Login für einen user x , jedoch nicht root, als möglich eingerichtet worden ist. Jetzt geht es trotzdem für niemanden mehr. So eine Sicherheit wollte ich nicht. Wie gut, dass der Server neben mir steht und ich an ihn heran komme. Auch vor Sperrzeiten von 1000 Stunden (bantime = ) sollte gewarnt werden. Das kann einen die Stelle kosten.
Man sollte schon wissen was man tut. Bei den Default Werten haben sich die Entwickler schon etwas gedacht, weil die genau wissen, dass sich Leute aussperren werden. So lange Bantimes bringen ja auch nicht wirklich etwas. Default sind bei mir 24h Ban und 48h SSH Ban. Findtime habe ich auch höher gestellt, allerdings nicht über die Bantime. Wenn ich einen Fehler gemacht habe, muss ich halt 2 Tage warten. Übrigens wenn man noch nicht vertraut ist, sollte man lieber mit einem Testserver testen. Aus meiner Sicht gehört jeder gebannt, der zu oft das Passwort eingibt, egal welcher Nutzer, bei Servern im Internet. Alternativ sollte man root auch gar nicht den SSH Login erlauben. SemperVideo hat dazu auch ein Video gemacht und gezeigt wie man die Benutzer für den SSH Login ändern kann. Mit su kann man dann immer noch zu root wechseln. So können die Scriptkiddys versuchen den root user zu brutforcen.
Es muss ja kein Bot sein. Es kann ja auch ein Mensch sein. Oder man könnte die Bots so Programmieren das wenn es nicht klappt das sie dann z.B. ein selbst geschriebendes Programm ausführen das dann automatisch die IP ändern. Der Aufwand wäre gering.
Sowas wünsche ich mir öfter. Allerdings wird es für Anfänger etwas schwierig sein zu verfolgen. Ich schätze die fragen sich "was ist nano und was macht das?". Klar, man kann ja googlen. Aber ein kurzer Hinweis wie zB "nano ist ein einfacher Editor mit dem man Dateien öffnen kann" wäre gut.
Das wäre ja schon richtig der hinweis, aber Sempervideo hatte damals schon Videos rausgebracht, wie man mit dem Raspi etc anfängt und da wurden die anfänge erklärt. Insofern sollte man auch am Anfang anfangen und nicht mitten drin. Und bevor man mit nem Server anfängt, sollte man sich erstmal einwenig mit dem OS vertraut machen. Das ist auch garnicht sonderlich schwer, wenn man sich die Videos von Sempervideo zu Raspi oder linux anschaut und nicht die Auffassunggabe eines Stocks hat. ^^
Sempervideo benutzt aber Cloudflare. D.h. wenn du die Domäne sempervideo.de auflöst, bekommst du die IP eines Cloudflare Servers und nicht die echte Adresse des Sempervideo Servers, die hier im Video sichtbar ist. Mittlels der echten IP lässt sich so ein Server viel leichter angreifen. Das ist ja auch der Grund für die Verwendung von Cloudflare.
Also die findtime oder bantime mit 10 min. finde ich ganz OK. Naja man kann auch 15 oder 20 min. machen aber mehr ist meiner Meinung nach total überzogen. Außerdem kann man bei 3 Versuchen auch mal selber am Schlauch stehen und nicht checken, dass man aus Versehen Capslock drin hat zB. Dann selber 100h blockiert zu sein und dann über irgendeine andere IP rein zu müssen um sich wieder freizugeben nerft. Rechnerisch nimm ich mal die allseits beliebte rockyou.txt her mit etwas über 14 Millionen Passwörtern. Bei 4 Versuchen in 10 Min. komme ich auf: 14000000/4*10/60/24/365 = nicht ganz 67 Jahre. Wenn ich nun einen Treffer innerhalb der ersten 10% unterstelle dann sind das immer noch 6-7 Jahre. Klar kann man jetzt mit Botnetzwerken argumentieren aber ein Admin, der ein root-Passwort verwendet, dass in einer der beliebtesten Wortlisten zu finden ist verdient es, dass man seinen Rechner kapert. ;-) Für einen Server mit gutem PW und ordentlichen PW-Richtlinien für Nutzer sind die Standard-Werte mehr als ausreichend um die lieben Scriptkiddies gehörig auszubremsen und Ihnen den Spaß zu verderben...
Hi, Ich habe meinen server noch zusätzlich mit google-autchenticator geschützt 😄. kann ich jedem empfehlen dessen system 24/7 läuft mann muss nämlich Benutzer Passwort und den Key haben den der google auth einem anzeigt, dazu auf dem rechner noch WinAuth installiert damit mann nich immer sein handy da haben muss und schon ist das ein gut geschütztes system. Mit freundlichen Grüßen Alex130988
Mir ging es in erster hinsicht darauf nicht schnell auf mein System zu gelangen sondern einem Angreifer/Virus/Trojaner, der sich entweder auf meinen PC ausbreitet oder von aussen auf den Server zugreift, besonderst schwer zu machen auf das System zuzugreiffen. Da hilft auch kein ssh-key den der kann ohne weiteres ausgelesen und übermittelt werden, wogegen dan das system mit installiertem authenticator eine 2te Sicherheits hürde dastellt. ssh passwort und key haben beide vor und nachteile aber das 2FFA ist einfach nur ein weiterer schutz für mein system damit wenn jmd. mein passwort (25stellig) herrausfindet oder abgreift ich immer noch auf der sicherren seite bin da ich zum authentifizieren den passkey aus dem authentificator benötige. Mit freundlichen Grüßen Alex130988
Dein privater SSH-Schlüssel wird nicht übertragen, den bekommt ein Angreifer nur wenn er Zugriff zu dem System hat, auf dem der Schlüssel gespeichert liegt.
Prima Video, eine Sache muss jedoch angemerkt werden:
Wie auch schon in der "jail.conf" Datei selbst beschrieben sollte man die Datei selbst NICHT verwenden (gut zu sehen bei 4:35).
Stattdessen sollte man die Datei in eine neue Datei namens "jail.local" kopieren (cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local) und dort seine Änderungen durchführen.
So wird vermieden dass es bei Updates zu Vermischungen kommt.
Kann ich die Datei auch als /etc/fail2ban/jail.d/abc.conf speichern?
Und was ist, wenn ich meinen SSH-Port geändert habe? Kann ich das so wie im Video stehen lassen oder erkennt das Programm nicht den Nicht-Standard-Port, sodass ich ihn von Hand eintragen muss?
gute Frage, wenn ich den conf eintrag aber richtig deute, müsste er das von alleine erkennen. Andernfalls einfach mal ausprobieren. Wenn du im Auth.log auch jetzt schon einträge hast, kannst du mit der fail2ban.log oder wie auch immer du die nennen willst dann sehen, ob es übernommen wird oder nicht. ^^
TheBeginningOfMusic die jail.local ist sogar kumulativ, also überschreibt teile aus der jail.conf... man muss sie nicht komplett kopieren, sondern nur in die jail.local rein schreiben was man anders haben will als zu den Einträgen in der jail.conf
Wo kann ich eigentlich festlegen, dass jail2ban beim Start die jail.local einliest und nicht die jail.conf? Denn nur dann macht doch die .local überhaupt sinn????
Sehr schön @SemperVideo :) Nur sollte der Sprecher Kommentare in Config-Dateien nicht immer ignorieren :D Das ist wie die Bedienungsanleitung für bestimmte Dinge zu ignorieren: Machen wir gerne, sollte man aber nicht :D
Bei 4:51 steht doch was sehr wichtiges für die Konfiguration von Fail2Ban :)
Zitat:
"HOW TO ACTIVATE JAILS:
YOU SHOULD NOT MODIFY THIS FILE!
It will probably be overwritten or improved in a destribution update"
easylite376 Der Sprecher IST Sempervideo!
Er spricht aber selber gerne von sich als "der Sprecher"
Nein es gibt eine Redaktion
Gut zu wissen. Hatte an meinem Pi ca. 5 Anmeldeversuche pro Minute.
Pseudynom Da stehst du aber stark unter beschuss (oder halt beschiss)
Ich habe gerade meinen VServer gechekt und habe pro minute 1-2 zugriffs versuche :O
Schön, dass ihr nicht nur mögliche Angriffe zeigt sondern auch, wie man sich vor Angriffen schützen kann.
Die logpath's unter grep & [ssh] innerhalb der Videobeschreibung sind auch noch auf auth.log und nicht fail2ban.log, wie im Video genannt. Aber für Einsteiger wurde es hervorragend erklärt. :)
Das ist mal ein richtig sinnvolles Video, das selbst ich als Noob verstehe und umsetzen konnte. Herzlichen Dank auch an die Kommentarschreiber, die den Tipp mit jail.local gegeben haben.
Genau wegen solcher Videos lohnt sich das Abo von SemperVideo trotz vieler Videos, die ehr einen sinnlos Charakter haben, dennoch.
WICHTIG:
1. Nicht die jail.conf bearbeiten (diese wird bei jedem Update gelöscht), sondern im gleichen Ordner eine jail.local Datei anlegen und die Änderungen dort eintragen.#
2. Wenn ihr den "logpath" ändert wird fail2ban niemanden mehr bannen, da dies nicht die Ausgabedatei der Logs ist, sondern die Datei in der fail2ban nach den Ereignissen sucht. Die /var/log/fail2ban.log wird automatisch erstellt!
Wunderschönen guten Morgen.
Guten Morgen Herr WhiteCloud.
Ja, schunderwöhnen Muten gorgen!
WhiteCloud Network
Erzähl mal was!
Moin
Wenn mann das ganze nun noch mit blocklist.de verknüpft dann werden die Provider sogar automatisch über das Fehlverhalten der Nutzer informiert und eine sperre des Anschlusses passiert automatisch sobald die es für nötig erachten
Langsam kommen mir Zweifel mit Blocklist, ob man Forum oder Installationshinweise etc. anklickt,jedes mal landet man auf einer Kindergartenseite.Ob das alles so in Ordnung ist......
denke eher das da was bei deinem PC nicht stimmt
bei mir kommt das was sein soll
Endlich jemand, der das # auch Doppelkreuz nennt :)
Zuzu Typ für mich ist das ne Raute
TOP! Danke!!!!
Auf Arch-Linux ist ein wenig anderes (backend = systemd), aber die Arch-Wiki ist einfach Klasse. Funktioniert prima.
LG,
Sebastian
Soweit ich weiß, wird die jail.conf Datei bei einem Update zurückgesetzt. Deshalb sollte mal die jail.conf mit dem Namen jail.local kopieren und dort die Einstellungen machen.
Super Video!!!
Würde mir ein Video wünschen in dem gezeigt wird wie mal die Mail notification configuriert.
Und das nicht vom eigenen Mailserver, sondern wie man eine externe email (z.B. gmail.com) dafür nutzen kann.
Gruß
An zu merken ist das es sin in der jail.conf nicht um einen hashtag handelt sondern die gezeigte raute im englischen nur als hash bezeichnet wird. Der Begriff hashtag wird nur verwendet wenn die raute in verbindung mit einem Suchbegriff verwendet wird.
Ich benutze Fail2ban auch schon eine ganze weile, Fail2ban ist sehr gut configurierbar, es ist auch einfach möglich anmeldeversuche die z.B. über apache2 durch ownCloud laufen, auch über den fail2ban abzusicher, theoretisch ist alles darüber in einem jail aufnehmbar. Ich habe nur die Erfahrung gemacht, da mein ownCloud server im Internet von sehr vielen leuten genutzt wird (sehr viel ist für mich 50 leute regelmäßig) das nach ein paar monaten meine logdatei über 300 MB groß war, es ist also nicht schlecht ein kleines skript zu schreiben (internet findet) wodurch man einmal im monat Die logdatei in ein Archiv kopiert und leert, somit kann fail2ban immer schnell die logdateien lesen. (Bei einer logdei von 300 MB braucht fail2ban ca. 20 minuten bei einem neustart bis er funktioniert.
:) Schönes wochenende!
ResidentEvil202 wieso schreiben, ist doch im System dabei: logrotate
Vielleicht noch nett zu erwähnen fail2ban kann auch mit zusammen arbeit eines email servers einem für jede gebannte IP eine email schicken inklusive log dateien und Whois einträgen
hm, könnte man aber auch shcnell das problem bekommen, sich selbst wahnisnnig viele mails zu schicken.
je nachdem ob die bot server gerade primetime haben oder nicht
Albert Alexander Deswegen habe ich die direkt im spam ordner liegen ist trotzdem sehr interessant von wo das alles her kommt und was sie machen z.B das sehr viele versuchen sich mit dem namen ubuntu einzuloggen
Eine kombinierte Liste mit Schutzmaßnahmen für Server wäre cool. Zum Beispiel was ihr auf euren Servern alles einsetzt.
warum muss man bei ssh bantime und so nochmal eintragen, wenn die parameter bei default schon gesetzt sind? gruß
Schon als mein Server gerade mal ne halbe Stunde online war und nirgendwo verlinkt, hatte ich schon dutzende Authentisierungsfehlschläge von IPs aus Amerika, China und Polen.
Ich habe das bei mir so gelöst, dass ich einfach den SSH login über passwort deaktiviert habe sodass ich nur noch per 2048 bit RSA key mit passphrase einloggen kann.Ich denke, dann brauche ich Fail2Ban nicht mehr, oder?
Wie wäre es denn mal mit einem ganzen Tutorial, um seinen Server abzusichern? :) Kenne Leute, die noch nicht mal wissen, wie man mit ssh keys umgeht ^^
MiniMinerLPs könnte ich sein :*
^^
the Morpheus tutorials hat eine Playlist zu Serveradministration da gehts auch um Sicherheit
Ich hab mal dummerweise meine Email Adresse in Fail2ban angegeben... Mein Mailprovider hatte mir alle 5 Stunden meinen Account gesperrt, weil ich so viel Mails bekommen habe.
Moin, ich habe ein Problem mit fail2ban. Wenn ich fail2ban installiere, dann wird das zwar installiert aber es wird keine jail.conf angelegt
warum keinen hohen port und nen 4096 bit ssh schlüssel verwenden ? dann kommt keiner außer du übers inet rein... alles andere ist mir persöhnlich zu unsicher
Es geht denke auch eher darum, dass du das zusätzlich machst. Also um sozusagen einen SSH-DDOS zu vermeiden. Was bringt es dir, dass dein Login sicher ist, wenn du gar nicht reinkommst, weil die Bandbreite von irgendwelchen LoginBots verbraucht wird.
Warum nimmt man keine Whitelist.
Ich meine es wäre effektiver oder?
Heftchen Held wenn du eine dynamische ip hast?
Ping von TH-cam angekommen. Glocke ist aktiv.
Warum verwendest du/ihr Putty auf einem Linux System, warum nicht einfach "ssh user@ip" ?
Kann man noch kombinieren mit einer 2 Faktor Authentifizierung, wir benutzen noch den google authenticator um uns mt ssh zu verbinden
Moin Sempervideo,
schönes Video. :) Mich würde mal interessieren, ob es eine Möglichkeit gibt, die eingetragenen IP-Adressen automatisch die passenden Länderkennungen zuweisen zulassen. Wäre halt ein nettes "nice to have", wenn man sich über einen längeren Zeitraum hinweg ansehen kann, woher die Angriffe so kommen oder die Angriffsrichtungen verlagern. ^^
Erstmal danke. :) Aber das Paket geoip scheint es unter debian stretch nicht zu geben. :( muss ich mal suchen gehen.
ok, danke. :3
fail2ban-client status sshd
Weisst du was auch interessant wäre - wenn noch in der auth.log die Kennwörter der ungültigen versuche mitgeschrieben würden.
Weisst du wie/ob das geht - magst ein Video dazu machen?
Gutes Video, man sollte aber eigentlich den SSH-Zugang über ein Passwort komplett deaktivieren und nur authentifikation über Public Key erlauben. Ihr könnt ja dazu nochmal ein Video machen.
Macht mal ein Video zum neuen Bundestrojanergesetz...
Bin so froh dass nicht alle Videos gelöscht wurden D:
12:10 oha "mein" Server hat (wenn ich es richtig getestet hab) auch ne russische ip (leider)
Im Vertrag steht glaub dass der Server in Deutschland, in der Schweiz oder in Österreich stehen muss. aber Server ≠ ip 😐
juhuuuuu, endlich mal wieder was von linux! abgesehen vom raspi xD
bitte mehr davon ;)
trifft das auch auf zb einem qnap nas zu? bin was server betrifft gelinde gesagt etwas grün hinter den ohren...
Naja, musst du ein NAS so unbedingt von außen verwalten? Wenn der externe Zugang abgestellt ist, ist das ja sowieso erledigt
Just A L4br4 naja, also verwalten nicht unbedingt, aber eine eigene Cloud möchte ich auf jeden Fall machen.
ich glaube es kommt drauf an welche clud man verwendet. wenn man ownCloud einrichtet glaube ich muss man das machen, wenn man die cloud von qnap verwendet dann nicht, aber ganz sicher bin ich mir da auch nicht.
sozusagen betrifft mich das im video angeführte problem nicht?
vielen dank für die auskunft :)
Port ändern hilft manchmal auch schon, oder SSH Port über z.B. firewalld nur für interne Interfaces erlauben (z.B. tun0 bei einer OpenVPN Verbindung) ^^
Spitze!
# nennt man auch Raute! 😉
ssh Keyfile?
Haben ein Problem:
Und zwar habe ich mir etwas runtergeladen und danach ist mir aufgefallen, dass sich ein Prozess eingemogelt hat und ich ihn nicht schließen kann, trotz Adminrechte. Im Dateipfad waren 3 Dateien(eine konnte ich löschen), aber wenn ich die löschen will steht dort, dass ich Adminrechte dafür brauche.
Kann mir da jemand helfen? Was das ist weiß ich nicht.
Habe noch mehr komische Prozesse entdeckt, konnte diese aber alle beenden und deren Dateipfad löschen (der Änderungszeitpunkt war bei allen Dateien immer gleich).
wie trenn ich meine ip ab um einen anderen pc auch zu " ignorieren "
Live Computing das meine ich nicht
ignoriere ich mehrere pc's/ip's mit einem komma ?
also nsch der zeile einfach 192.168.2.4,192.168.2.5
schreiben oder similkolons verwenden ?
jail.conf zu jail.local kopieren. dort die änderungen machen. logpath ist nicht wo hingeloggt wird sondern von wo gelesen wird. also auth.log ist korrekt nicht fail2ban.log
filter für sshd ist sshd. Steht in der beschreibung jetzt eh richtig
Kleiner Schnittfehler bei 10. Min.
Endlich wird mal wieder ein ordentliches OS behandelt und nicht diese Spiele-OS mit fest eingebauten NSA Hintertürchen und Schnüffelfunktionen.
Ich hab das Vorgestern mal gemacht und direkt festgestellt dass die Logdatei an einem falschen ort abgespeichert wird. Dennoch hab ich festgestellt dass sehr viele aus China Es Probieren. Mal gucken was die Logdateien morgen so sagen + mit dem Video von Heute.
Was mich allerdings mal interessieren würde, ist wie man legal seine E-Mail Adresse im Impressum hinterlegen kann ohne gleich sich den Spam ins Haus holen kann. Mit Plesk hab ich den Spamschutz relativ kritisch eingestellt für meine CatchAll aber dass ist ja nicht Sinn und Zweck. Ich hatte auf meiner alten Webseite den E-Mail Schutz von Cloudflare genommen. Die Zeigen die Mail Adresse nur wenn JS Aktiviert ist. Hat nicht geholfen.
zusätzlich zu Fail2Ban root Sperren
SSH Root Login verbieten
Wenn Sie direkten SSH Root Login unter Server verbieten wollen, benötigen Sie neben dem Root Benutzer mindestens einen weiteren Benutzer, der sich am Server anmelden darf. Mit diesem Benutzer wechseln Sie dann zum Root Account.
ACHTUNG: Wenn Sie keinen weiteren Benutzer angelegt haben, sperren Sie sich selbst vom System aus
Editieren Sie die Datei /etc/ssh/sshd_config und setzen Sie
PermitRootLogin yes
auf
PermitRootLogin no
Starten Sie anschließend den SSH Dienst neu
/etc/init.d/ssh restart (alternativ: service ssh restart)
Nun darf sich Benutzer Root nicht mehr direkt am System anmelden. Sie melden sich ganz normal mit einem Benutzer an und wechseln dann mit
su
in den Root Account.
Spitzel Staat darüber wurde meines Wissens nach schon ein Video gemacht. Ist aber ein sehr wichtiger Hinweis für neue Zuschauer
Den ssh zu sperren ist eine gefährliche Sache. Ich habe mich in Verbindung mit sshd_config
gerade selber ausgesperrt, obwohl in letzterer Datei ein Login für einen user x , jedoch nicht root, als möglich eingerichtet worden ist. Jetzt geht es trotzdem für niemanden mehr. So eine Sicherheit wollte ich nicht. Wie gut, dass der Server neben mir steht und ich an ihn heran komme. Auch vor Sperrzeiten von 1000 Stunden (bantime = ) sollte gewarnt werden. Das kann einen die Stelle kosten.
Man sollte schon wissen was man tut. Bei den Default Werten haben sich die Entwickler schon etwas gedacht, weil die genau wissen, dass sich Leute aussperren werden. So lange Bantimes bringen ja auch nicht wirklich etwas. Default sind bei mir 24h Ban und 48h SSH Ban. Findtime habe ich auch höher gestellt, allerdings nicht über die Bantime. Wenn ich einen Fehler gemacht habe, muss ich halt 2 Tage warten.
Übrigens wenn man noch nicht vertraut ist, sollte man lieber mit einem Testserver testen. Aus meiner Sicht gehört jeder gebannt, der zu oft das Passwort eingibt, egal welcher Nutzer, bei Servern im Internet. Alternativ sollte man root auch gar nicht den SSH Login erlauben. SemperVideo hat dazu auch ein Video gemacht und gezeigt wie man die Benutzer für den SSH Login ändern kann. Mit su kann man dann immer noch zu root wechseln. So können die Scriptkiddys versuchen den root user zu brutforcen.
Oder man nutzt einfach einen SSH-Key
Aber was ist wenn man immer wieder die IP ändert? Wird die Mac auch geblockt?
nein nur via ip
Nanakietv Dann ist das ja sehr unpraktisch. Dann würde z.B. ich als Angreifer meine Ip dann ändern.
passiert bei mir aufm server regelmäsig
bekomme an immer so 50-60 mails inerhalb weniger minuten^^
Es muss ja kein Bot sein. Es kann ja auch ein Mensch sein. Oder man könnte die Bots so Programmieren das wenn es nicht klappt das sie dann z.B. ein selbst geschriebendes Programm ausführen das dann automatisch die IP ändern. Der Aufwand wäre gering.
Sowas wünsche ich mir öfter.
Allerdings wird es für Anfänger etwas schwierig sein zu verfolgen.
Ich schätze die fragen sich "was ist nano und was macht das?".
Klar, man kann ja googlen. Aber ein kurzer Hinweis wie zB "nano ist ein einfacher Editor mit dem man Dateien öffnen kann" wäre gut.
David Schwaerzle hab ich vor paar Jahren nicht gemacht und habe dann alles auf die harte Tour gelernt xD
Das wäre ja schon richtig der hinweis, aber Sempervideo hatte damals schon Videos rausgebracht, wie man mit dem Raspi etc anfängt und da wurden die anfänge erklärt. Insofern sollte man auch am Anfang anfangen und nicht mitten drin. Und bevor man mit nem Server anfängt, sollte man sich erstmal einwenig mit dem OS vertraut machen. Das ist auch garnicht sonderlich schwer, wenn man sich die Videos von Sempervideo zu Raspi oder linux anschaut und nicht die Auffassunggabe eines Stocks hat. ^^
4:40 Wenn Sie einen Server betreiben und nicht wissen was Kommentare sind... OMG
SemperVideo am morgen vertreibt Kummer und Sorgen
Das Programm lief 1ne Minute und hat schon 3 weggebannt!
Ich frage mich wie viele Script Kiddies jetzt versuchen werden sich da einzuloggen? Vielleicht hätte er die IP Adresse unkenntlich machen sollen.
Sempervideo benutzt aber Cloudflare. D.h. wenn du die Domäne sempervideo.de auflöst, bekommst du die IP eines Cloudflare Servers und nicht die echte Adresse des Sempervideo Servers, die hier im Video sichtbar ist. Mittlels der echten IP lässt sich so ein Server viel leichter angreifen. Das ist ja auch der Grund für die Verwendung von Cloudflare.
Kanst mir editor erklären
Bist Du doof!?
sideKick redstone diddy wen dan
Jasper Ben ich meinte den editor in der konsole zu bedinen. Irgendwie schaf ich da nicht rauszukomen und zu schreiben
Für Deutschland-Club ja aber editor in terminel kapir ich halt nicht
sideKick du magst bestimt meine virdeos kanst ja anschauen und zuspamen und disliken
Max Ritrei ^^
# = Hash-Zeichen!!!
Ein Tag ist eine Funktion.
MegtaBubble Ein # ist eine Raute xDD
Also die findtime oder bantime mit 10 min. finde ich ganz OK. Naja man kann auch 15 oder 20 min. machen aber mehr ist meiner Meinung nach total überzogen. Außerdem kann man bei 3 Versuchen auch mal selber am Schlauch stehen und nicht checken, dass man aus Versehen Capslock drin hat zB. Dann selber 100h blockiert zu sein und dann über irgendeine andere IP rein zu müssen um sich wieder freizugeben nerft.
Rechnerisch nimm ich mal die allseits beliebte rockyou.txt her mit etwas über 14 Millionen Passwörtern. Bei 4 Versuchen in 10 Min. komme ich auf: 14000000/4*10/60/24/365 = nicht ganz 67 Jahre. Wenn ich nun einen Treffer innerhalb der ersten 10% unterstelle dann sind das immer noch 6-7 Jahre.
Klar kann man jetzt mit Botnetzwerken argumentieren aber ein Admin, der ein root-Passwort verwendet, dass in einer der beliebtesten Wortlisten zu finden ist verdient es, dass man seinen Rechner kapert. ;-) Für einen Server mit gutem PW und ordentlichen PW-Richtlinien für Nutzer sind die Standard-Werte mehr als ausreichend um die lieben Scriptkiddies gehörig auszubremsen und Ihnen den Spaß zu verderben...
Wer braucht fail2ban wenn man ssh keys hat?
2:02 Putty?!
Gibt es
auf meinem Ubuntu hieß es auch sshd xD
Hi, Ich habe meinen server noch zusätzlich mit google-autchenticator geschützt 😄. kann ich jedem empfehlen dessen system 24/7 läuft mann muss nämlich Benutzer Passwort und den Key haben den der google auth einem anzeigt, dazu auf dem rechner noch WinAuth installiert damit mann nich immer sein handy da haben muss und schon ist das ein gut geschütztes system. Mit freundlichen Grüßen Alex130988
sideKick sehr erwachsen zu beleidigen.
Mir ging es in erster hinsicht darauf nicht schnell auf mein System zu gelangen sondern einem Angreifer/Virus/Trojaner, der sich entweder auf meinen PC ausbreitet oder von aussen auf den Server zugreift, besonderst schwer zu machen auf das System zuzugreiffen. Da hilft auch kein ssh-key den der kann ohne weiteres ausgelesen und übermittelt werden, wogegen dan das system mit installiertem authenticator eine 2te Sicherheits hürde dastellt.
ssh passwort und key haben beide vor und nachteile aber das 2FFA ist einfach nur ein weiterer schutz für mein system damit wenn jmd. mein passwort (25stellig) herrausfindet oder abgreift ich immer noch auf der sicherren seite bin da ich zum authentifizieren den passkey aus dem authentificator benötige.
Mit freundlichen Grüßen Alex130988
Dein privater SSH-Schlüssel wird nicht übertragen, den bekommt ein Angreifer nur wenn er Zugriff zu dem System hat, auf dem der Schlüssel gespeichert liegt.
Ich hoffe dass eure Server nicht auf Port 22 laufen und am besten Login nur mit private Key ;)
hashtag/doppelkreuz aka raute
ich würde gerne sagen, dass ich zu alt für diesen scheiss bin. aber ehrlich gesagt, bin ich einfach zu faul.
schade eigentlich. =/