nicht angemeldet
Moin Moin!
Wunderbar, Dein Posting nimmt mir eine Menge Tipperei ab. ;-)
Ergänzend:
-
Bei sehr massiven Angriffsversuchen kommt wegen der "Du kummst hier net rein"-Antworten vom sshd immer noch eine Menge Traffic zusammen, die den Hoster nervös machen können. Ich hab das mal mit einem Hoster aus Süddeutschland ausdiskutieren dürfen, dass kein Idiotenscript mit Name und Passwort in meinen Key-Only-sshd reinkommt. K.O.-Argument vom Hoster war: Das macht trotzdem zu viel Traffic. Deswegen habe ich zusätzlich zu einem Key-Only-sshd fail2ban aktiviert, damit der sshd nur die ersten paar Versuche pro IP beantwortet.
-
Es hilft, den sshd auf einem anderen Port als 22 laufen zu lassen (> 1024), darauf sind die typischen Scripte bislang offensichtlich nicht ausgelegt.
-
Wenn man den sshd auf bestimmte IP-Ranges einschränkt und dann doch mal in eigentlich geblockten Regionen der Welt unterwegs ist, kann ein SSH- oder VPN-Tunnel "nach Hause" sehr hilfreich sein, um von dort aus per SSH über eine "saubere" IP-Adresse auf den Server zu kommen.
-
Für Tage, an denen man hinter einem halbwegs paranoiden Proxy sitzt, hilft ein Multiplexer, der auf Port 443 gleichzeitig SSH und HTTPS anbietet. PuTTY kann von sich aus durch einem HTTP-Proxy per CONNECT auf einen SSH-Server gehen, für ssh unter Linux gibt's ein paar Helferlein, die alle über die Option ProxyCommand arbeiten. Für den Proxy ist das nicht von einem Zugriff auf eine per HTTPS abgesicherte Website zu unterscheiden. Nachteil ist, dass die meisten Multiplexer eine eigene Verbindung zum httpd bzw. zum sshd aufmachen und so alle eingehenden Verbindungen zum httpd bzw. zum sshd vom localhost zu kommen scheinen. Einige wenige frickeln mit den Netzwerk-Stack von Linux rum und umgehen das Problem, indem sie die bereits offene Verbindung an httpd oder sshd weiterreichen. Das wiederum kann sich mit Firewall-Scripten beißen, die mit dem Trick nicht rechnen. Und natürlich ist das Linux-spezifisch, während der Weg über localhost auf so ziemlich jedem Unix funktionieren dürfte.
Alexander
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".
Robert R.