Habe gute Erfahrungen mit firewalld gemacht (unterstützt nativ nftables) und portknocking mit knockd um den SSH Port zu öffnen. Docker kommt auch mittlerweile mit nft klar weil die alten iptable Kommandos transparent nach nft übersetzt werden. Der Grund warum IPv6 deaktiviert werden sollte erschließt sich mir nicht. Gerade vor dem Hintergrund, dass IPv6 ja immer mehr IPv4 ablöst. Hetzner bietet ja mittlerweile sogar IPv6-only VPS an.
Ich schließe mich dem Kommentar bezüglich IPv6 an. Statt es zu deaktivieren sollte man es immer mit konfigurieren. So ist es kein Wunder dass selbst heute noch über 80% des Internets nicht mit IPv6-only erreichbar ist.
Die UFW ist zwar eine feine Sache, aber bei Docker hat sie keinen Zweck, für Docker sind alle Ports offen, ob UFW aktiviert oder deaktiviert. Das sollte erwähnt sein...
Super erklärt 😊 möchte mir selbst bald einen Server einrichten und dein Video hat mir echt geholfen. Kannst du vielleicht Literatur empfehlen um sich mit dem Thema oder allgemein Linux Administration weiterzubilden? Danke + Grüße Marcel
Hallo Daniel, hast du eigentlich schonmal darüber nachgedacht einen Discord Server für deine Community zu erstellen. Einen Ort wo man sich zu Videos austauschen kann, gegenseitig helfen kann, dich direkt kontaktieren kann, Erfahrungen austauschen und und und
Danke für das informative Video. Bitte beachte aber, dass die Firewall-Software UFW, englisch ausgesprochen, "juh äff dabbeljuh" heißt. "juh äff wie", wie Du immer wieder gesagt hast, ergäbe in Buchstaben UFV. (Ich selbst mache im Englischen diesen Fehler immer bei der Automarke aus München. 🙂)
Hallo lieber Daniel, ich verfolge selbst schon sehr lange deine Videos. Ich finde aber einen SSH Port öffentlich zu schalten sehr fatal. Auch wenn es nicht der Default Port ist. Hierzu rate ich eigentlich immer zu einer VPN Lösung. Ich bin hierzu gespannt was du davon hälst.
Hallo EB-APPS, grundsätzlich gebe Ich dir hier recht. Allerdings muss ich auch sagen, dass wenn du ausschließlich die Anmeldung via SSH-Key aktivierst, du auf der gleichen Ebene bist, wie wenn du einen Login nur via VPN ermöglichst. Nutzt du z.B. WireGuard als VPN-Server basiert die Authentifizierung genauso auf einem Public/Private-Key Modell und für die Verbindung musst du genauso einen Port öffnen. Die Wahrscheinlichkeit, dass dein VPN-Key oder dein SSH-Key geknackt werden sind im Grunde genommen gleich.
in /etc/ssh/sshd_config sollte man auch den Password Login deaktivieren wenn man Pubkey Auth nutzt, da ssh sonst auf Passwort Login zurückfällt wenn keine id_rsa (Private Key) angegeben wird. Und Angreifer haben eine solche ja eh nicht. Ganz wichtig!
Aber ein Login ist doch dann eh nur mit dem private Key möglich, weil ja nur der passende Schlüssel in der Config eingetragen ist. Zudem wenn ich mich dann als normaler User anmelde und per sudo su mcih als root User verifizieren will, fragt er ja nch einem Passwort, wie melde ich mich dann dort an?Oder verstehe ich das ganze dann falsch?
@@Matrix586478 ja genau, man kann sich zu SSH nur noch mit dem private key anmelden und nicht mehr mit dem Passwort. Aber falls der Private Key nicht angegeben ist, fällt SSH auf Password-Login zurück sofern man es nicht explizit in der sshd_conf deaktiviert. Wenn du erstmal eingeloggt bist mit einem non-root User kannst du ganz normal sudo -s oder su benutzen, um root Zugriff zu erhalten. Den Root-Login per SSH sollte man auch deaktivieren (in der sshd_config), d.h. immer via non-root User auf SSH einloggen per Private Key. Der eigentliche Root User am Server bleibt unberührt, sofern man den aus Sicherheitsgründen nicht auch lieber deaktiviert und nur noch mit sudo arbeitet auf nem non-root User.
Danke Dir, Daniel. Wie immer ein sehr gut gemachtes Video mit hilfreichen Tipps.
Gerade für mich als Neueinsteiger sehr hilfreich, vielen Dank dafür
Sehr schön, danke für das Video. Alles wieder super erklärt :)
Freut mich, danke!
Vielen Dank. Das hat mir sehr weitergeholfen
Könntest du mal ein Video zu authelia(2fa Dienst) machen und wie man es am besten mit mehreren Apps verbindet?
Habe gute Erfahrungen mit firewalld gemacht (unterstützt nativ nftables) und portknocking mit knockd um den SSH Port zu öffnen. Docker kommt auch mittlerweile mit nft klar weil die alten iptable Kommandos transparent nach nft übersetzt werden.
Der Grund warum IPv6 deaktiviert werden sollte erschließt sich mir nicht. Gerade vor dem Hintergrund, dass IPv6 ja immer mehr IPv4 ablöst. Hetzner bietet ja mittlerweile sogar IPv6-only VPS an.
Ich schließe mich dem Kommentar bezüglich IPv6 an. Statt es zu deaktivieren sollte man es immer mit konfigurieren. So ist es kein Wunder dass selbst heute noch über 80% des Internets nicht mit IPv6-only erreichbar ist.
UFW spricht sich „you ef double-u“.
Ansonsten wie immer topp! Danke für die Infos und die Mühe!
Die UFW ist zwar eine feine Sache, aber bei Docker hat sie keinen Zweck, für Docker sind alle Ports offen, ob UFW aktiviert oder deaktiviert. Das sollte erwähnt sein...
Danke für's Video
Super erklärt 😊 möchte mir selbst bald einen Server einrichten und dein Video hat mir echt geholfen. Kannst du vielleicht Literatur empfehlen um sich mit dem Thema oder allgemein Linux Administration weiterzubilden? Danke + Grüße Marcel
Hallo Daniel, hast du eigentlich schonmal darüber nachgedacht einen Discord Server für deine Community zu erstellen.
Einen Ort wo man sich zu Videos austauschen kann, gegenseitig helfen kann, dich direkt kontaktieren kann, Erfahrungen austauschen und und und
Gutes Video. Wusste ein paar Sachen noch nicht...
Wie richtet man das bei Windows ein mit dem SSH Key? Hier wurde es ja von einem Mac gezeigt.
Genau so. Die PowerShell kennt die ssh-Befehle auch und legt das ganze ebenfalls in einem .ssh-Ordner im Benutzerverzeichnis ab.
Mit Putty kann man das machen
Guten Morgen
Danke für das informative Video. Bitte beachte aber, dass die Firewall-Software UFW, englisch ausgesprochen, "juh äff dabbeljuh" heißt. "juh äff wie", wie Du immer wieder gesagt hast, ergäbe in Buchstaben UFV. (Ich selbst mache im Englischen diesen Fehler immer bei der Automarke aus München. 🙂)
Für den Algorithmus.
Hallo lieber Daniel, ich verfolge selbst schon sehr lange deine Videos.
Ich finde aber einen SSH Port öffentlich zu schalten sehr fatal.
Auch wenn es nicht der Default Port ist.
Hierzu rate ich eigentlich immer zu einer VPN Lösung.
Ich bin hierzu gespannt was du davon hälst.
Hallo EB-APPS, grundsätzlich gebe Ich dir hier recht. Allerdings muss ich auch sagen, dass wenn du ausschließlich die Anmeldung via SSH-Key aktivierst, du auf der gleichen Ebene bist, wie wenn du einen Login nur via VPN ermöglichst. Nutzt du z.B. WireGuard als VPN-Server basiert die Authentifizierung genauso auf einem Public/Private-Key Modell und für die Verbindung musst du genauso einen Port öffnen. Die Wahrscheinlichkeit, dass dein VPN-Key oder dein SSH-Key geknackt werden sind im Grunde genommen gleich.
@@apfelcast OK, da muss ich dir Recht geben.
Im Endeffekt entscheidet jeder am Schluss selbst, bzw. hat jeder seine eigenen Prioritäten.
Weiter so 👍
Ich habe meinen Linux Server insoweit abgesichert, dass nur aus einer IP Whitelist überhaupt Zugriff per SSH ist.
So eine Tarpit ist schon toll
Wenn du eine statische IP oder einen entsprechenden VPN Zugang hast, ist das natürlich auch eine sinnvolle Möglichkeit die Sicherheit zu erhöhen.
@@apfelcast Man kann auch den Angriffsvektor stark verkleinern indem man nur bestimmte Netze erlaubt... zB.
ALLOW: 80.184/16
DENY: ALL
in /etc/ssh/sshd_config sollte man auch den Password Login deaktivieren wenn man Pubkey Auth nutzt, da ssh sonst auf Passwort Login zurückfällt wenn keine id_rsa (Private Key) angegeben wird. Und Angreifer haben eine solche ja eh nicht. Ganz wichtig!
Aber ein Login ist doch dann eh nur mit dem private Key möglich, weil ja nur der passende Schlüssel in der Config eingetragen ist. Zudem wenn ich mich dann als normaler User anmelde und per sudo su mcih als root User verifizieren will, fragt er ja nch einem Passwort, wie melde ich mich dann dort an?Oder verstehe ich das ganze dann falsch?
@@Matrix586478 ja genau, man kann sich zu SSH nur noch mit dem private key anmelden und nicht mehr mit dem Passwort. Aber falls der Private Key nicht angegeben ist, fällt SSH auf Password-Login zurück sofern man es nicht explizit in der sshd_conf deaktiviert. Wenn du erstmal eingeloggt bist mit einem non-root User kannst du ganz normal sudo -s oder su benutzen, um root Zugriff zu erhalten. Den Root-Login per SSH sollte man auch deaktivieren (in der sshd_config), d.h. immer via non-root User auf SSH einloggen per Private Key. Der eigentliche Root User am Server bleibt unberührt, sofern man den aus Sicherheitsgründen nicht auch lieber deaktiviert und nur noch mit sudo arbeitet auf nem non-root User.
Der neue Benutzer sollte noch in die sudo Gruppe, bevor der Root-Login abgeschaltet wird ;)