Kleine Anmerkung: Es ist und bleibt keine gute Idee den root-Login via SSH zu erlauben. Auch nicht via Keys. AuÃerdem sollte das auch nicht der Default User sein mit dem man arbeitet. DafÞr gibts sudo. Bei nem System das nicht Þbers Internet zu erreichen ist, kann man noch drÞber diskutieren. Aber selbst dort wÞrde ich das vermeiden. Ansonsten gutes Video mit Basics
Zum Thema Backup kann man sich das Tool duplicity mal anschauen. Hier lÃĪsst sich ein Backup erstellen zu einem der vielen MÃķglichen Backends was dies UnterstÞtzt. Ich nutze dies in Kombination mit Azure Blob Storage wo die Backups verschlÞsselt abgelegt werden. Backup natÞrlich TÃĪglich ;)
Habe dich neulich entdeckt und muss sagen, dass deine Videos sehr angenehm sind zum gucken! Haben mir schon sehr geholfen! Kannst du mal ein Video machen, in dem du Fail2Ban mit pfSense erklÃĪrst?
Hmm, irgendwo hab ich einen Fehler drin bei dem SSH Zugang per Putty mit privkey. Er fragt mich dennoch nach Passwort, obwohl die SSHD_Config angepasst ist und Putty den Key bereits enthÃĪlt, welcher mit PuttyGen angepasst wurde. Gibt es da eine Fehlerquelle? Ist eine Testumgebung also nix wildes wenn ich nicht mehr drauf komme. Aber dennoch sollte es doch so ohne weiteres laufen, oder nicht?
Eigentlich sollte man sich nicht mit root nicht unbedingt einloggen, und man kÃķnnte sich auch auf einen anderen Port den ssh Zugang einrichten, und den eigentlichen ssh Port zu einer Teergrube machen
Praxistipp: Auch an z.B IPMI und HP ILO denken das ordentlich abzusichern. Am besten niemals direkt im Internet betreiben, was leider bei root servern hÃĪufig nicht mÃķglich ist. Dann immer Firmware aktuell halten und interne Mechanismen zur Absicherung verwenden.
Beim Putty gibt es eine art SSH-Agent - Da muss man sein SSH-Privaten-Key pro Sitzung (also User Sitzung von Windows) adden und dann benÃķtig, man ab dem Zeitpunkt kein Passwort mehr fÞr den SSH-Key mehr. Jedoch ist der Key selber immer verschlÞsselt.
Vielen Dank dÞr das Video, ich hÃĪtte nun allgemein eine Frage. Ich bin relativ neu in der Richtung. Ich hatte Proxmox schon einmal auf meinem Home Server aufgesetzt. Aus KostengrÞnden und weil das ganze noch doch ein grÃķÃeres Projekt werden soll, habe ich nun einen Linux VServer gemietet der mit Virtuozzo virtualisiert ist. Nun zu meinen Fragen: Kann ich dort Proxmox einfach noch installieren? ich mÃķchte auf dem Vserver nÃĪmlich zum einem Nextcloud installieren, parallel TrueNAS Scale und dann einen FTP Server um Joomla hosten zu kÃķnnen auf dem ein weiteres CMS aufsetzt. HierfÞr ist dann ja noch eine MySQL Datenbank notwendig sowie Apache. Sobald ich nun die ZugÃĪnge habe, werde ich deine Absicherungen aus dem Video auf jedenfall noch durchfÞhren. Jedoch wÃĪre generell erst einmal die Frage ob das Vorhaben unsinnig erscheint und wie ich das aufsetze? Sollte z..B MySQL auf einer eigenen VM laufen wie baut man so etwas dann auf? Vielen Dank.
hi, super Video. Ich hab mir eine Sophos UTM vServer als Firewall und dann einen Windows Server bereitgestellt. Dann ein VPN zu mir nach Hause und Veeam Backup der VM aufs NAS zuhause.
wenn Server aufm externen Hoster ist alles an Admirierendes Close wireguard rauf und darÞber Admirieren, ganz wichtig meistens sind das die Programme die ab und an mal SicherheitslÞcken haben, Updaten ! und immer wieder schauen ob es sicher ist die Version.
Cooles Video und sehr nÞtzlich ....hab zum GlÞck die Laberei am Anfang ertragen, hÃĪtte dort fast weggedrÞckt...hab dann aber gedacht...abwarten, ist wohl nur so ein Nerdgequatsche am Anfang ðĪ
Macht fail2ban auch Sinn, wenn ich den Raspberry-Server hinter einem Router betreibe und nur das VPN-Port geforwarded habe? Kann und macht es Sinn fail2ban in einen eigenen docker-container zu stopfen? Danke - echt gute ErklÃĪrungen...
Kannst du was fÞr externes monitoring oder logs auslesen von externen maschinen empfehlen? Also bei docker portainer auch von externen Maschinen. Aber fÞr linux vms?
@@RaspberryPiCloud Oh top, wusste nicht das Grafana und Telegraf auch Logs kann. Danke dir. Dann kann in den Semesterferien die Serverumstrukturierung ja kommen.
Super Video. Auf meinem Mailserver mit Mailcow habe ich soweit auch alles eingerichtet. Nur mit iptables komme ich nicht so ganz klar und mein Hoster 1blu bietet leider keine zusÃĪtzliche Firewall wie Hetzner. WÃĪre also wirklich super, wenn du zu iptables mal was machen wÞrdest.
Megageiles Tutorial und sehr hilfreich. Aber kÃķnntest du vielleicht mal ein video zu iptables-rules machen. Darauf bist Du dann leider doch nicht eingegangen.
Bei Fail2Ban wÞrde ich die maxretry immer deutlich hÃķher ansetzen. 20 oder mehr. Wenn man sich mal Þberlegt fÞr was fail2ban eigentlich gedacht ist - nÃĪmlich bruteforce - macht es keinen Unterschied ob 3 oder 50 versuche, solange das passwort halbwegs gut ist. Erspart auf jeden fall ÃĪrger wenn man sich selbst aussperrt.
Kann ich nicht ganz bestÃĪtigen. Auch die sind schlauer geworden mit den BruteForce Att. und ballern nicht mehr unendlich Anfrage an den Server sondern nur alle 5 min. z.B. 100% Schutz kriegt man nie.
@@lukas98t7e7 Ein Passwort, welches nur ein paar (oder einige) Millionen MÃķglichkeiten bietet ist kein halbwegs sicheres Passwort... Das ist in wenigen Sekunden geknackt. Ein Passwort mit 4 Zeichen hat bereits einige Millionen mÃķgliche Kombinationen. FÞr Administratoren wird nicht umsonst >12 Zeichen empfohlen. Auch Fail2Ban bringt da nur bedingt was. Ein guter Brutforce Angriff wird von mehreren Zombie Maschinen mit unterschiedlichen IPs angegriffen. Da kann man dann pro Tag schon einige Kombinationen durch gehen. Bei >12 Zeichen dauert das aber trotzdem ewig. Blockt man mit Fail2Ban lÃĪnger, verlÃĪngert dies natÞrlich die Zeit, die es dauert. Dann macht es schon einen Unterschied ob ein paar hundert bis tausend Maschinen am Tag nur 5 oder 50 Versuche haben.
Ich nutze anstatt Putty lieber Kitty. Fast das gleiche wie Putty. Aber zum Beispiel bei einem Reboot bleibt das Fenster und es kommt nicht diese nervige Fehlermeldung.
Kurze Anmerkung: "PubkeyAuthentication yes" und "StrictModes yes" sind beides die Default-Werte, deine Ãnderung ist sinnvoll gemeint, aber zumindest auf Debian-Systemen unnÃķtig.
Das ging ja schnell, dass Du meinen Vorschlag zum Video gemacht hast - Danke.
Kleine Anmerkung: Es ist und bleibt keine gute Idee den root-Login via SSH zu erlauben. Auch nicht via Keys. AuÃerdem sollte das auch nicht der Default User sein mit dem man arbeitet. DafÞr gibts sudo. Bei nem System das nicht Þbers Internet zu erreichen ist, kann man noch drÞber diskutieren. Aber selbst dort wÞrde ich das vermeiden. Ansonsten gutes Video mit Basics
Prinzipell hat du recht, jedoch wenn ein Angreifer zugriff auf deinen Account erlangt, der sudo recht hat, hast du das selbe problem
@@SeMoDrix mit sudo hat man nicht prinzipiell volle Rootrechte. Stichwort sudoers. sudo ist kein su....
Zudem sollte auch nicht auf allen Systemen der gleiche Key genutzt werden. Je System ein separater Key mit Passwort.
Der sichere Punkt fÞr den Private Key ist sicher nicht auf dem Server ..
Wollte gerade das selbe kommentieren.
super video zum Thema VPS / SSH Absicherung. Danke Dir
Zum Thema Backup kann man sich das Tool duplicity mal anschauen. Hier lÃĪsst sich ein Backup erstellen zu einem der vielen MÃķglichen Backends was dies UnterstÞtzt. Ich nutze dies in Kombination mit Azure Blob Storage wo die Backups verschlÞsselt abgelegt werden. Backup natÞrlich TÃĪglich ;)
Habe dich neulich entdeckt und muss sagen, dass deine Videos sehr angenehm sind zum gucken! Haben mir schon sehr geholfen!
Kannst du mal ein Video machen, in dem du Fail2Ban mit pfSense erklÃĪrst?
Da gibt es nichts zu erklÃĪren. pfsense kann kein fail2ban.
@@RaspberryPiCloud schade. Gibt es Firewall Alternativen, die das unterstÞtzen?
Hmm, irgendwo hab ich einen Fehler drin bei dem SSH Zugang per Putty mit privkey.
Er fragt mich dennoch nach Passwort, obwohl die SSHD_Config angepasst ist und Putty den Key bereits enthÃĪlt, welcher mit PuttyGen angepasst wurde. Gibt es da eine Fehlerquelle? Ist eine Testumgebung also nix wildes wenn ich nicht mehr drauf komme. Aber dennoch sollte es doch so ohne weiteres laufen, oder nicht?
Ok, mein Fehler :D In Putty ERST den Server eintragen, DANN den Authkey laden und schon lÃĪuft es. Evtl. hilft es ja jemandem ^^
Ich hÃĪtte getippt du hast den service nicht neugestartet.
Eigentlich sollte man sich nicht mit root nicht unbedingt einloggen, und man kÃķnnte sich auch auf einen anderen Port den ssh Zugang einrichten, und den eigentlichen ssh Port zu einer Teergrube machen
Praxistipp:
Auch an z.B IPMI und HP ILO denken das ordentlich abzusichern. Am besten niemals direkt im Internet betreiben, was leider bei root servern hÃĪufig nicht mÃķglich ist. Dann immer Firmware aktuell halten und interne Mechanismen zur Absicherung verwenden.
WAT... Rootserver hÃĪngen mit dem ILO im Internet, hab ich noch nicht gesehen.
@@RaspberryPiCloud doch, kenne da auf jeden fall anbieter bei denen das so ist. eher kleinere.
Beim Putty gibt es eine art SSH-Agent - Da muss man sein SSH-Privaten-Key pro Sitzung (also User Sitzung von Windows) adden und dann benÃķtig, man ab dem Zeitpunkt kein Passwort mehr fÞr den SSH-Key mehr. Jedoch ist der Key selber immer verschlÞsselt.
Vielen Dank dÞr das Video, ich hÃĪtte nun allgemein eine Frage. Ich bin relativ neu in der Richtung. Ich hatte Proxmox schon einmal auf meinem Home Server aufgesetzt. Aus KostengrÞnden und weil das ganze noch doch ein grÃķÃeres Projekt werden soll, habe ich nun einen Linux VServer gemietet der mit Virtuozzo virtualisiert ist. Nun zu meinen Fragen: Kann ich dort Proxmox einfach noch installieren? ich mÃķchte auf dem Vserver nÃĪmlich zum einem Nextcloud installieren, parallel TrueNAS Scale und dann einen FTP Server um Joomla hosten zu kÃķnnen auf dem ein weiteres CMS aufsetzt. HierfÞr ist dann ja noch eine MySQL Datenbank notwendig sowie Apache. Sobald ich nun die ZugÃĪnge habe, werde ich deine Absicherungen aus dem Video auf jedenfall noch durchfÞhren. Jedoch wÃĪre generell erst einmal die Frage ob das Vorhaben unsinnig erscheint und wie ich das aufsetze? Sollte z..B MySQL auf einer eigenen VM laufen wie baut man so etwas dann auf? Vielen Dank.
wie hast du dein putty so fancy in dateien hinbekommen? das ich aktivierte und deaktivierte befehle besser erkennen kann?
hi,
super Video.
Ich hab mir eine Sophos UTM vServer als Firewall und dann einen Windows Server bereitgestellt.
Dann ein VPN zu mir nach Hause und Veeam Backup der VM aufs NAS zuhause.
wenn Server aufm externen Hoster ist alles an Admirierendes Close wireguard rauf und darÞber Admirieren, ganz wichtig meistens sind das die Programme die ab und an mal SicherheitslÞcken haben, Updaten ! und immer wieder schauen ob es sicher ist die Version.
Zum Thema Services: Wenn mÃķglich, nutzt Docker o.ÃĪ. Container starten, testen, behalten oder lÃķschen :)
Ja, kann ich nur so weiter geben. Nach MÃķglichkeit ab in einen Container.
Danke, super Video, du hast vergessen den Privatekey von deinem Server zu lÃķschen :)
Ich gucke mir das Video nur wegen der Firewall an, die wird aber am wenigsten im Video behandelt. Perfekt!
Cooles Video und sehr nÞtzlich ....hab zum GlÞck die Laberei am Anfang ertragen, hÃĪtte dort fast weggedrÞckt...hab dann aber gedacht...abwarten, ist wohl nur so ein Nerdgequatsche am Anfang ðĪ
Macht fail2ban auch Sinn, wenn ich den Raspberry-Server hinter einem Router betreibe und nur das VPN-Port geforwarded habe?
Kann und macht es Sinn fail2ban in einen eigenen docker-container zu stopfen? Danke - echt gute ErklÃĪrungen...
Nein,macht keinen Sinn den in eigenen Container zu setzen. Fail2ban lÃĪuft als Dienst auf deinem System.
fÞr die Logs kÃķnnte man logcheck nutzen und auch per Mail informieren lassen :)
Kannst du was fÞr externes monitoring oder logs auslesen von externen maschinen empfehlen? Also bei docker portainer auch von externen Maschinen. Aber fÞr linux vms?
Guck mal bei mir in den Videos nach Grafana Telegraf.. da kannst logs, sowie monitoring.
@@RaspberryPiCloud Oh top, wusste nicht das Grafana und Telegraf auch Logs kann. Danke dir. Dann kann in den Semesterferien die Serverumstrukturierung ja kommen.
Was fÞr ein Monitoring Tool wÞrdest du empfehlen um die Server Sicherheit zu erhÃķhen?
netdata ist echt ne wucht
Wenn die IP-Adresse allerdings im 5s Rhythmus sich ÃĪndert vom Angreifer dann ist das doof mit fail2ban
Super Video. Auf meinem Mailserver mit Mailcow habe ich soweit auch alles eingerichtet. Nur mit iptables komme ich nicht so ganz klar und mein Hoster 1blu bietet leider keine zusÃĪtzliche Firewall wie Hetzner.
WÃĪre also wirklich super, wenn du zu iptables mal was machen wÞrdest.
installiere ufw firewall: sudo apt install ufw
Nftables bitte !
iptables sieht ziemlich komplex aus. So ne einfache iptables einrichtung als tutorial wÃĪre schon cool.
Megageiles Tutorial und sehr hilfreich.
Aber kÃķnntest du vielleicht mal ein video zu iptables-rules machen. Darauf bist Du dann leider doch nicht eingegangen.
Nftables bitte !
ðð
Nur mal einen Tipp: unter Linux kann man ufw verwenden. Das ist gerade fÞr AnfÃĪnger nicht so abschreckend wie iptables
Bei Fail2Ban wÞrde ich die maxretry immer deutlich hÃķher ansetzen. 20 oder mehr. Wenn man sich mal Þberlegt fÞr was fail2ban eigentlich gedacht ist - nÃĪmlich bruteforce - macht es keinen Unterschied ob 3 oder 50 versuche, solange das passwort halbwegs gut ist. Erspart auf jeden fall ÃĪrger wenn man sich selbst aussperrt.
Kann ich nicht ganz bestÃĪtigen. Auch die sind schlauer geworden mit den BruteForce Att. und ballern nicht mehr unendlich Anfrage an den Server sondern nur alle 5 min. z.B. 100% Schutz kriegt man nie.
@@RaspberryPiCloud SchÃķn und gut das bringt aber bei einem halbwegs sicheren Passwort mit mehreren Millionen mÃķglichen Kombinationen nichts...
@@lukas98t7e7 Ein Passwort, welches nur ein paar (oder einige) Millionen MÃķglichkeiten bietet ist kein halbwegs sicheres Passwort... Das ist in wenigen Sekunden geknackt. Ein Passwort mit 4 Zeichen hat bereits einige Millionen mÃķgliche Kombinationen. FÞr Administratoren wird nicht umsonst >12 Zeichen empfohlen. Auch Fail2Ban bringt da nur bedingt was. Ein guter Brutforce Angriff wird von mehreren Zombie Maschinen mit unterschiedlichen IPs angegriffen. Da kann man dann pro Tag schon einige Kombinationen durch gehen. Bei >12 Zeichen dauert das aber trotzdem ewig.
Blockt man mit Fail2Ban lÃĪnger, verlÃĪngert dies natÞrlich die Zeit, die es dauert. Dann macht es schon einen Unterschied ob ein paar hundert bis tausend Maschinen am Tag nur 5 oder 50 Versuche haben.
@@Roknix Ja, das ist klar. Meine PasswÃķrter sind zwischen 16 und 20 Zeichen lang, da braucht es dann auch nicht unbedingt Fail2Ban.
@@lukas98t7e7 oder gleich auf reine PasswÃķrter verzichten und lieber auf MFA setzen...
Kann es sein, dass dein Mikrofon einen Defekt hat?
Ich nutze anstatt Putty lieber Kitty. Fast das gleiche wie Putty. Aber zum Beispiel bei einem Reboot bleibt das Fenster und es kommt nicht diese nervige Fehlermeldung.
Bei mir will er trotzdem ein Passwort :/
Kurze Anmerkung: "PubkeyAuthentication yes" und "StrictModes yes" sind beides die Default-Werte, deine Ãnderung ist sinnvoll gemeint, aber zumindest auf Debian-Systemen unnÃķtig.
Hey,
wÞrdest du ein Video fÞr fail2web machen? - Also eine grafische OberflÃĪche zu fail2ban ? :)
Danke und beste GrÞÃe
fail2web, von GitHub? das Ding ist seit 2017 nicht mehr weiterentwickelt worden...
Bist du gerade aufgestanden? Das ist aber auch ein hÃĪssliches Shirt...ðĪŪðĪĢ
NÃķ, ich hab mir eins von dir geliehen!
VPN zum Server und SSH zu, so mache ich das
Ist eine LÃķsung. Viele Wege fÞhren nach Rom
He da fehlt der Spaà fÞr Hacker : endlessh, und natÞrlich noch das 2fa fÞr ssh vergessen XD :P