Oder man ist so paranoid wie ich und verwendet Keys, dann 2FA und zum Schluss noch ein 32-Stelliges Passwort. Das ganze dann noch über nen custom Port, Login nur über einen User und gut ist. 😁

@@Lauch-Melder Login nur über einen User und gut ist. 😁 .... root? :-)

Klar, aber die Angreifer bleiben ja. Ich hab sogar die Anmeldung per Passwort deaktiviert aber der sshd antwortet trotzdem erstmal.

Das würde mich auch interessieren. Danke

Im Standardsetup bleibt es vielleicht dabei, dass dein System nur "minimal" mehr verbraucht. Die Verbindung ist trotzdem erstmal in deinem Netz. Dann kommt mal eben ein 0-Day (wie gesehen bei Amnesia:33 / Ripple20) um die Ecke und du bist selbst Teil des Botnetzes! Herzlichen Glückwunsch. :) Btw: Hast du dir die Sources vor der Installation angeguckt? Fail2Ban ist auch nur die 2. Stufe der Verteidigung. IDS / IPS sollten da die Bogons schon erkannt bzw. unterbunden haben.

@@mr.nobody2087 moin, Programme bauen ständig Verbindungen überall hin auf, oder nehmen Verbindungen an. Auch werden sehr häufig Verbindungen aufrecht erhalten. Ich kann schon verstehen, worauf sie hinaus wollen. Doch das Gilt für jedes Programm. Natürlich, wäre die beste Möglichkeit sich davor zu schützen, einen gewissen Stecker aus der Wand zu ziehen. Natürlich, ist das nicht mein Ziel, weil ich dafür das Internet zu sehr schätze. Es kann sein, dass eine Lücke in Programmen auf taucht. Natürlich, kann die Lücke auch entsprechend ausgenutzt werden, wenn entweder das Programm schlecht programmiert wurde oder mehrere Lücken zusammen kommen. Dann ist mir natürlich bewusst, dass der kleine Rechner auch Teil eines Botnets wird. Doch ich installiere regelmäßig Updates, so dass die Wahrscheinlichkeit eher gering ist. Was die Verteidigung gegen SSH angriffe angeht, so bin ich offen gesagt ein Noob, weshalb ich ja den Port nicht nach außen freigebe. Ich bin wenn man so möchte, lediglich ein Nutzer von Programmen. Die Sprache, die bei der Programmierung verwendet wurde, kann ich nicht verstehen. Deshalb, kann ich mir das Programm natürlich auch nicht anschauen. Wie gesagt, um die Last des Rechners oder der Internetleitung, mache ich mir keine großen Gedanken. Es kostet mich nichts, ihn weiter laufen zu lassen. Ob das Gerät etwas mehr Last oder nicht hat, spielt dabei dann auch keine Rolle mehr.

@@chriss_wichannel7519 Mit einer guten Firewalllösung kann ich das alles auch regeln, ohne den Stecker ziehen zu müssen. Das ganze sollte auch nur ein Denkanstoß sein und keine Kritik. Es wird nur oft nicht über solcher Sachen nachgedacht und anstatt 10 Verbindungen des Angreifers zu blockieren, stelle ich im auf einmal 10, 100, 10.000 oder whatever zur Verfügung. Bei einem Zero-Day Exploit helfen auch regelmäßige Updates leider nicht (immer rechtzeitig).

@@mr.nobody2087 Heute sind die Fehler meist ca. 30-90cm vor dem Bildschirm zu finden. Windows7 oder älter, keine Updates auf Router/Betriebssysteme/Software. Alles mögliche nach außen hin freigeben. Ich hab schon ganze Rechner in der (Möchtegern)DMZ bei Kunden/Bekannte gefunden, weil ein Port fürs "zogggännnn" für den Junior geöffnet werden sollte. Die Dummheit und/oder Unwissenheit von Anwendern hat keine Grenzen! Da wird probiert und gemacht, bis alle Ports offen sind. Von außen nach innen sollte bei privat grundsätzlich meiner Meinung nach nichts offen sein. Höchsten ein VPN. Selbst die Fritte macht ja bei passender Einstellung schon Ports auf und ist erreichbar. Von da ist es oft ein kleiner Weg für Angreifer. VPN, Tasker dazu am Android und bei jedem fremden WLAN ab übers VPN gegangen. Funktioniert perfekt und man kann alles seine Server erreichen. Natürlich schwierig, wenn ich meine Cloud mit anderen Teilen will usw. Ein gewisses Risiko hat man immer und ist auf jeden Fall dem Programmierer ausgeliefert bzw. der Firma mit Sicherheitspatches. Spannend wird in den nächsten Jahren das Thema Heimautomatisierung. Wenn da die Firmen den Dienst nicht mehr weiter Supporten, dann hast du den WLAN Toaster, der nach außen funken darf und dort halt gekapert wird. Einen solchen Fall gab es vor einigen Jahren mal. Dort wurde die IP einer pleite gegangen Firma genutzt um bei den OTA Updates Schadsoftware einzuspielen. Da ist so eine Teergrube oder Honeypot das geringste Übel und trägt sogar zu Sicherheit aller bei. Siehe mein Posting weiter oben.

@@mr.nobody2087 Kritik, ist immer gut. Denn wie soll man dann etwas lernen, wenn man nicht kritisiert wird. Was mich angeht, ich versuche die Fehler vor dem Bildschirm zu vermeiden. Ich überlege mir genau was ich frei gebe. Mein Vorredner wies bereits auf die FRITZ!Box hin. Da soll ich mich vielleicht auch mal genau umschauen, was die schon so frei hat. Einen Portscan bei mir, dürfte das Problem relativ schnell offenbaren. Einiges, muss aber offenbar nach außen freigegeben werden. Da bei der Verbindung des Angreifers allerdings nichts übertragen wird, mal abgesehen von ich bin noch da, ist mir egal, ob da 1.000.000.000 Verbindungen offen sind. Im Notfall, sind alle seine Ports dicht, meine dafür dann allerdings auch. Ich könnte mich jetzt natürlich damit rausreden, dass es einfachere Ziele gibt, als eines von möglicherweise 100 Skripts, die das selbe tun herauszufinden, ob das läuft. Um dann noch zu versuchen, eine Schwachstelle sowohl in dem Skript, als auch in der Ausführenden Programmiersprache und in Linux zu finden. Das geht einfacher. Man möge sich doch noch mal diverse schöne IP Kameras ansehen, natürlich von Nutzern betrieben die keine Ahnung haben, dass so etwas nicht ins Internet gehört. Um einen Angreifer durch diese Schichten durch zu lassen, muss man schon gezielt angegriffen werden. Herzlichen Glückwunsch, der jenige hat nur ungefähr 24 Stunden Zeit. Ist meine Internetverbindung dicht, zum Beispiel durch einen Dos angriff, geht das schneller. Schade, wenn man dann noch nicht durch ist. Von da an, kann der jenige es erneut bei einem anderen probieren. Ich weiß allerdings nicht, ob das auch für die IP V6 gilt. Doch das Lauscht da nicht. Alles in allem, fühle ich mich ziemlich sicher dadurch. Mir ist bewusst, dass auch noch versucht werden könnte, auf den Engin x Proxi Manager zu zugreifen. Dahinter steht ein gewisser Container, der sich um meine Passwörter kümmert. Daran darf sich der Angreifer auch gerne versuchen, und sich gerne die Zähne ausbeißen. Zu mindestens an meinem Tresor. Paranoide Handlungsweisenoder ein sehr hohes Sicherheitsgefühl, sie dürfen sich jetzt aussuchen, was sie am liebsten verwenden möchten, ist allerdings eine sehr gute Eigenschaft. Bei meine Familie wünsche ich mir das auch. Natürlich, bei wichtigen Daten, will man einfach nicht, dass ein Angreifer reinkommt. Doch das Skript läuft wirklich nur bei einem VPN und Pihole Rechner, wo nichts anderes drauf läuft. Die containerisierten Passwort Geschichten, laufen wiederum auf einem anderen Rechner. Allerdings bin ich da zu blöd, die Admin Webseite aufzurufen. Naja, im schlimmsten Fall, leit sich jemand Speicher für seine Passwörter und sichere Notizen. Ist der Speicher voll, lösche ich den Container einmal komplett, und füge einfach meine Passwörter wieder ein. So lange macht es mir nichts aus, wenn jemand den Speicher mit benutzt. An meinen Tresor kommt er so schnell nicht ran. Von den anderen Containern, ist der Angreifer ja auch getrennt.

Kann ich so nicht bestätigen unsere Statistiken über Jahren über 4Stellige Kunden VM`s haben ergeben das die Meisten Botnetze nur noch Standard Ports Abfragen da die Erfolgschance größer ist auf Masse zu gehen da genug offen ist.

Würde das den Tarpit überflüssig machen? Also wenn man Port 22 erst garnicht öffnet?

@@TheMeggo94unnötig, überflüssig, arbeitslos, nenne es wie du willst. Hinter einer geschlossenen Tür brauchst du keinen Türsteher.

Was verstehst Du unter "aussen"? Wenn man einen Server im Internet stehen hat und per ssh drauf muss, hat man ja keine Wahl.

@@RainerK. doch. Es gibt immer ein lokales Netz auf das man per VPN drauf kann. Ssh gehört nicht ins Internet.

Absolut. Kann man das bei Linux irgendwie voraussetzen oder muss man einfach durchziehen ?

@@RaspberryPiCloud Mann kan den SSH Demon passend anpassend. Default Wert #PasswordAuthentication yes Soll Wet: PasswordAuthentication no Vorher natürlich den SSH-Key (am besten ed25519 benutzen) beim User hinterlegen Dienst Neustarten - gut ist (Trotzdem passe ich den SSH-Port an und habe trotzdem den Ban2Fall laufen - nötig wird das eigentlich nicht mehr)

Bitte gerne.

Denke meine Reichweite reicht da einfach nicht

Dem ist nichts mehr hinzuzufügen!

Ist ja quasi mein Fazit, bestens wiedergegeben! Danke Nobody

Zum Glück ist es beides Obst.

@@RaspberryPiCloud endlich sagt das mal jemand! Man kann nämlich alles mit allem vergleichen. Was falsch wäre, wäre es unterschiedliche Dinge gleichzusetzen. Bei dem Apfel-Birnen-Spruch ist die deutsche Sprache nicht sehr genau.

Ist nur leider "Closed Source" und in der "Home" sehr beschränkt einsetzbar.