Wie sichert ihr euren VPS ab ?

[einfachpeer]

Moin liebe Linux Server Admins

Nur aus Interesse...

Wie sichert ihr z.B einen VPS gegen Hackerangriffe ab ?

Also SSH Port ändern und DDOS Schutz setze ich mal vorraus.

Was macht ihr zusätzlich noch auf öffentlich über SSL Zugänglichen Servern zur Sicherheit ?

 

[Donnidonis]

SSL, Oder SSH? Port ändern bringt an sich nicht so viel, durch Shodan etc. stehst eh überall drin.
Davon ab, alles abschalten bzw. in der Firewall blockieren, WireGuard installieren und als einzige Verbindung zulassen. Geht natürlich nur, wenn du nicht zwingend ne Website hasten willst etc. Mehr Schutz braucht es nicht.

 

[einfachpeer]

SSH , sorry Tippfehler...

Ergänzung (25. Juni 2024)

Root login deaktivieren Sinnvoll oder nicht ?

 

[Donnidonis]

Kann nicht schaden, aber bringen tut es auch nicht so viel. Sagen wir jemand hat dein User Passwort, dann kann er sich eh einloggen, warum sollte er dann nicht auch das root Passwort haben? Und wenn jemand durch eine Schwachstelle rein kommt, warum dann nicht eh direkt als root?
Ja, jeder empfiehlt es abzuschalten, aber wie gesagt, ein Unterschied macht es meistens nicht. Aber es schadet eben auch nicht, daher musst du wissen, was du machst.

 

[Malaclypse17]

Das wichtigste ist SSH-Config anzupassen, so dass nur Auth per public key möglich ist und root login deaktiviert ist, Port kann man ändern, bringt nicht mehr Sicherheit, aber Logs werden deutlich weniger zugespamt.
UFW installieren und Default auf deny stellen, nur nötige Ports für bestimmte IPs zulassen.
System aktuell halten.

Damit hat man ziemlich alles grundlegende abgehakt, alles was danach kommt ist individuell und situationsabhängig.
Fail2Ban für öffentliche Dienste ist auch nie verkehrt bzw. UFW Jails.

Root login deaktivieren Sinnvoll oder nicht ?

Definitiv sinnvoll, muss aber ehrlich sagen, dass ich es aus Bequemlichkeit bei mir stets noch aktiv habe, hatte damit seit 10 Jahren auf öffentlich erreichbaren VPS aber auch noch nie Probleme, vorallem weil authentifikation eben nur public key auth zulässt.

 

[Donnidonis]

Der Kollege hier macht ganz nette Videos, das zu dem Thema ist aber schon älter:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Wie gesagt, root deaktivieren und/oder nur Zertifikat Login zulassen ist halt eher eine Glaubensfrage. Es schadet nicht, aber wirklich mehr Sicherheit bringt es auch nicht.

Ergänzung (25. Juni 2024)

Definitiv sinnvoll, muss aber ehrlich sagen, dass ich es aus Bequemlichkeit bei mir stets noch aktiv habe, hatte damit seit 10 Jahren auf öffentlich erreichbaren VPS aber auch noch nie Probleme, vorallem weil authentifikation eben nur public key auth zulässt.

Ja, es schadet halt wie gesagt nicht. Aber ich sehe den krassen Vorteil nicht. Denn wenn jemand auf Grund einer Schwachstelle rein kommt, ist er wohl eh root, warum sollte er dann ‚nur‘ User sein. Und oft ist eben der User eh noch sudo berechtigt.

Und ja, ich hab es auch an, besonders wegen der Bequemlichkeit.

Edit:
Plus dazu läuft bei mir eh alles nur lokal und über den VPN, dann ist es meines Erachtens noch unwichtiger. Denn da kommt man nur noch per Schwachstelle in der Firewall oder VPN rein, und dann ist eh alles vorbei.

 

[einfachpeer]

Danke ;-)

 

[fatal_error]

SSH-Port ändern ist nett aber wirkungslos.
Aber einen Root-Login über SSH zu erlauben ist leichtsinnig. Immer erst als User und dann kann man überlegen welcher User in der sudoer-list stehet und wer root überhaupt ausführen darf. Es kann immer mal sein dass jemand das System infiltriert, aber um so weniger er dann mit dem User machen kann, um so besser. Ein Burggraben ist gut, aber mit einer Mauer oder zwei dahinter ist das besser.

Und nur weil das hier angeblich noch keinem passiert ist, heißt das doch nicht dass es passiert ist. Lest Ihr immer die logs? Hab Ihr den Traffic immer im Auge? Wisst Ihr dass noch nie jemand auf dem System war?

 

[Crumar]

Ssh port ändern ist security technisch nicht interessant, aber log technisch viel, viel besser.
Vorher im log digest tausende Versuche pro Tag, danach maximal 10.
Klar, wer will findets trotzdem heraus

Bzgl. Key vs password.. Ich nutze passwort weil komfortabler. Ist eh >30 Zeichen. Dafür kein direkten root login und kein sudo, sondern ein zweites Passwort mit ebenfalls hinreichender Länge

Dann natürlich firewall alles aus außer selbst gesetzte ports und fail2ban. Mittlerweile hab ich auch alle Web Services in docker umgezogen

 

[Muffknutscher]

Wie die meisten schon geschrieben haben, ist das umbiegen des ssh Ports nicht zwingend erforderlich. Den root Account würde ich auf jeden Fall deaktivieren. Bei welcher Distro ist der eigentlich noch per Default aktiv?
Ich würde den Server hinter eine Firewall packen. Opnsense oder pfSense. Intern ein privates Netz, sodass der Server überhaupt nicht offen im Internet steht. Alles über die FW Routen bzw. über einen Proxy. So wäre eine gewisse Sicherheit gegeben. Auf dem Server auf jeden Fall Fail2Ban und ModSec.

 

[netzgestaltung]

Mein Linux-Admin Kollege nutzt immer Port-Knocking und Fail2Ban - ich persönlich hab immer SSH Root Login deaktivert und verbinde mich immer(wo ich es einrichte) mit ssh-key. mmn ist es zumindest kein nachteil den Port zumindest im Forwarding am Router zu ändern, das schließt viele Robot-Anfragen gleich mal aus. Das Iptables/ufw ordentlich konfiguriert sein sollte setz ich mal voraus.

 

[SirKhan]

Und immer daran denken, dass z.B. Docker-Container standardmäßig an der UFW-Firewall vorbeigehen (klick).
Also hier etwas aufpassen, damit es nicht zu ungewünschten Öffnungen nach außen kommt.

 

[qiller]

Denn wenn jemand auf Grund einer Schwachstelle rein kommt, ist er wohl eh root, warum sollte er dann ‚nur‘ User sein.

Im Internet/Netzwerk erreichbare Dienste laufen unter Linux nicht mit root-Rechten, wenn sie sauber installiert/konfiguriert wurden.

 

[opoderoso]

Ich lese seit Jahren SSH nur über Key usw.. aber was bitte ist unsicher daran per SSH und Failtoban mit wenigen Versuchen und dann Sperre für 24 Stunden? Fahre damit schon immer ohne Probleme. Komplexes PW ist selbstverständlich.

 

[Malaclypse17]

Ich lese seit Jahren SSH nur über Key usw.. aber was bitte ist unsicher daran per SSH und Failtoban mit wenigen Versuchen und dann Sperre für 24 Stunden?

Weil es von den beiden Möglichkeiten die deutlich schlechtere ist, aus vielerlei Gründen.

Hier sollte auch bedacht werden, dass Fail2Ban nur Logs auswertet, also bei weitem nicht in Echtzeit agiert, ist dann noch SSH schlecht konfiguriert, können da durchaus mehrere dutzend Anmeldeversuche durchgehen, bevor da irgendwas von F2B gebannt wurde, von wechselnden IPs mal ganz abgesehen.

Die Wahrscheinlichkeit, dass etwas über Bruteforce was passiert, ist natürlich trotzdem sehr gering, aber wieso das überhaupt riskieren, wenn ich diese Angriffsfläche über publickey-auth komplett umgehen kann.

 

[qiller]

Da ich 2 Standorte mit festen IP-Adressen habe, ist bei mir SSH per FW-Regel dicht, außer von diesen 2 IP-Adressen und halt über VPN. SSH-Problem ist damit für mich vollständig gelöst, ganz egal, welche Authentifizierungsmethode ich verwende.

 

[Isolak]

Habe mich mittlerweile mit Tailscale angefreundet und alle Ports ausser 80 und 443 nur noch über den Tailscale Port zugänglich gemacht.
Um Geld zu sparen auch nur über IPv6 xD, das hilft aber mit der Sicherheit nicht
Für die ganzen DIenste nach außen dann swag von linuxserver.io mit fail2ban

 

[Donnidonis]

Im Internet/Netzwerk erreichbare Dienste laufen unter Linux nicht mit root-Rechten, wenn sie sauber installiert/konfiguriert wurden.

Schon alleine WireGuard einzurichten, sodass es ein non-root User nutzen kann ist quasi unmöglich (jedenfalls wenn man es vernünftig haben möchte). wg-quick benötigt zwingend Root Rechte.

 

[konkretor]

Es ist möglich einen 2fa über ssh einzuschalten.
Es ist möglich sich auch eine email schicken zu lassen sobald der login über ssh geht.

 

[qiller]

sodass es ein non-root User nutzen kann

Ich rede von einem VPN-Dienst (und nicht von einem Client). Kenne mich mit Wireguard nicht so gut aus, aber ein OpenVPN-Server lässt sich unter einem Nicht-root Nutzerkonto betreiben und es würde mich wundern, wenn das mit Wireguard nicht gehen sollte.